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内 容 简介 


本 书 基于 “项 目 导向 ,任务 驱动 ”的 项 目 化 教学 方式 编写 而 成 ,体现 了 “基于 工作 过 程 ”的 教学 理念 。 

全 书 在 基于 全 国 职业 院 校 技能 大 赛 网 络 信息 安全 的 项 目 基础 上 ,融入 了 基于 国家 社 科 学 基金 科研 
项 目 青年 项 目 : 基于 维 哈 柯 文 信息 的 电子 数据 司法 鉴定 问题 研究 (编号 : 13CFX055) 的 成 果 。 从 中 分 解 
成 多 个 项 目的 任务 环节 ,其 中 包括 认识 网 络 安全 ,网 络 攻击 与 防护 .网 络 数据 库 安 全 ,计算 机 病毒 与 木马 
防护 、 使 用 Sniffer Pro 防护 网 络 ,数据 加 密 、Windows Server 系 统 安全 ,防火 墙 技术 ,无线 局 域 网 安全 和 
Internet 安全 与 应 用 等 内 容 。 

本 书 可 以 作为 计算 机 和 通信 专业 的 教材 ,也 可 作为 信息 安全 专业 和 从 事 信息 安全 研究 的 工程 技术 
人 员 的 参考 书 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ,无 标签 者 不 得 销售 。 
版 权 所 有 ,侵权 必 究 。 侵 权 举 报 电话 : 010-62782989 13701121933 
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出 版 说 明 


我 国 高 职高 专 教育 经 过 十 几 年 的 发 展 , 已 经 转向 深度 教学 改革 阶段 。 
教育 部 于 2006 年 12 月 发 布 了 教 高 C2006] 第 16 号 文件 (关于 全 面 提高 高 
等 职业 教育 教学 质量 的 若干 意见 》, 大力 推行 工学 结合 ,突出 实践 能 力 培 
养 ,全 面 提高 高 职高 专 教学 质量 。 

清华 大 学 出 版 社 作 为 国内 大 学 出 版 社 的 领跑 者 ,为 了 进一步 推动 高 
职高 专 计算 机 专业 教材 的 建设 工作 ,适应 高 职高 专 院 校 计算 机 类 人 才 培 
养 的 发 展 趋势 ,根据 教 高 [2006] 第 16 号 文件 的 精神 ,2007 年 秋季 开始 了 
切合 新 一 轮 教学 改革 的 教材 建设 工作 。 该 系列 教材 一 经 推出 ,就 得 到 了 
很 多 高 职 院 校 的 认可 和 选用 ,其 中 部 分 书籍 的 销售 量 都 超过 了 3 万 册 。 
现 重 新 组 织 优秀 作者 对 部 分 图 书 进行 改版 ,并 增加 了 一 些 新 的 图 书 品种 。 

目前 国内 高 职高 专 院 校 计算 机 网 络 与 软件 专业 的 教材 品种 繁多 ,但 
符合 国家 计算 机 网 络 与 软件 技术 专业 领域 技能 型 紧缺 人 才 培 养 培训 方 
案 , 并 符合 企业 的 实际 需要 ,能 够 自 成 体系 的 教材 还 不 多 。 

我 们 组 织 国 内 对 计算 机 网 络 和 软件 人 才 培 养 模式 有 研究 并 且 有 过 一 
段 实践 经 验 的 高 职高 专 院 校 ,进行 了 较 长 时 间 的 研讨 和 调研 , 遵 选 出 一 批 
富有 工程 实践 经 验 和 教学 经 验 的 双 师 型 教师 ,合力 编写 了 这 套 适用 于 高 
职高 专 计算 机 网 络 、 软 件 专业 的 教材 。 

本 套 教材 的 编写 方法 是 以 任务 驱动 、 案 例 教学 为 核心 ,以 项 目 开发 为 
主线 。 我 们 研究 分 析 了 国内 外 先进 职业 教育 的 培训 模式 、 教 学 方法 和 教 
材 特色 ,消化 吸收 优秀 的 经 验 和 成 果 。 以 培养 技术 应 用 型 人 才 为 目标 ， 
以 企业 对 人 才 的 需要 为 依据 ,把 软件 工程 和 项 目 管理 的 思想 完全 融入 
教材 体系 ,将 基本 技能 培养 和 主流 技术 相 结合 ,课程 设置 中 重点 突出 、 
主 辅 分 明 ,结构 合理 、 衔 接 紧 竣 。 教 材 侧重 培养 学 生 的 实战 操作 能 力 ， 
学 、 思 , 练 相 结 合 , 旨 在 通过 项 目 实践 ,增强 学 生 的 职业 能 力 , 使 知识 从 
书本 中 释放 并 转化 为 专业 技能 。 


一 、 教 材 编写 思想 


本 套 教材 以 案例 为 中 心 :以 技能 培养 为 目标 ,围绕 开发 项 目 所 用 到 的 
知识 点 进行 讲解 ,对 某 些 知识 点 附 上 相关 的 例题 ,以 帮助 读者 理解 ,进而 
将 知识 转变 为 技能 。 
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考虑 到 是 以 “项 目 设计 ”为 核心 组 织 教学 ,所 以 在 每 一 学 期 配 有 相应 的 实 训 课程 及 项 
目 开 发 手册 ,要 求学 生 在 教师 的 指导 下 ,能 整合 本 学 期 所 学 的 知识 内 容 , 相互 协作 , 综合 
应 用 该 学 期 的 知识 进行 项 目 开 发 。 同 时 ,在 教材 中 采用 了 大 量 的 案例 ,这 些 案例 紧密 地 结 
合 教材 中 的 各 个 知识 点 ,循序 渐进 , 巾 浅 和 人 深 , 在 整体 上 体现 了 内 容 主导 、 实 例 解 析 、 以 点 
带 面 的 模式 ,配合 课程 后 期 以 项 目 设计 贯穿 教学 内 容 的 教学 模式 。 

软件 开发 技术 具有 种 类 繁多 ,更 新 速度 快 的 特点 。 本 套 教 材 在 介绍 软件 开发 主流 技 
术 的 同时 ,帮助 学 生 建立 软件 相关 技术 的 横向 及 纵向 的 关系 ,培养 学 生 综 合 应 用 所 学 知识 
的 能 力 。 


二 、 丛 书 特 色 


本 系列 教材 体现 目前 工学 结合 的 教改 思想 ,充分 结合 教改 现状 ,突出 项 目 面向 教学 和 
任务 驱动 模式 教学 改革 成 果 ,打造 立体 化 精品 教材 。 

(1) 参照 和 吸纳 国内 外 优秀 计算 机 网 络 、 软 件 专业 教材 的 编写 思想 ,采用 本 土 化 的 实 
际 项 目 或 者 任务 ,以 保证 其 有 更 强 的 实用 性 ,并 与 理论 内 容 有 很 强 的 关联 性 。 

(2) 准确 把 握 高 职高 专 软 件 专 业 人 才 的 培养 目标 和 特点 。 

(3) 充分 调查 研究 国内 软件 企业 ,确定 了 基于 Java 和 . NET 的 两 个 主流 技术 路 线 , 再 
将 其 组 合成 相应 的 课程 链 。 

(4) 教材 通过 一 个 个 的 教学 任务 或 者 教学 项 目 ,在 做 中 学 ,在 学 中 做 ,以 及 边 学 边 做 ， 
重点 突出 技能 培养 。 在 突出 技能 培养 的 同时 ,还 介绍 解决 思路 和 方法 ,培养 学 生 未 来 在 就 
业 岗 位 上 的 终身 学 习 能 力 。 

O) 借鉴 或 采用 项 目 驱 动 的 教学 方法 和 考核 制度 ,突出 计算 机 网 络 、 软 件 人 才 培 训 的 
先进 性 .工具 性 、 实 践 性 和 应 用 性。 

(6) 以 案例 为 中 心 ,以 能 力 培养 为 目标 ,并 以 实际 工作 的 例子 引入 概念 ,符合 学 生 的 
认 知 规律 。 请 言 简洁 明了 、 清 晰 易 懂 , 更 具 人 性 化 。 

CD 符合 国家 计算 机 网 络 、 软 件 人 才 的 培养 目标 ;采用 引入 知识 点 、 讲 述 知 识 点 、 强 化 
知识 点 、 应 用 知识 点 ,综合 知识 点 的 模式 ,由 浅 入 深 地 展开 对 技术 内 容 的 讲述 。 

(8) 为 了 便于 教师 授课 和 学 生 学 习 , 清 华 大 学 出 版 社 正在 建设 本 套 教材 的 教学 服务 
资源 。 在 清华 大 学 出 版 社 网 站 (www. tup. com. cn) 免 费 提供 教材 的 电子 课件 、 案 例 库 等 

高 职高 专 教育 正 处 于 新 一 轮 教学 深度 改革 时 期 ,从 专业 设置 .课程 体系 建设 到 教材 建 
设 , 依 然 是 新 课题 。 希 望 各 高 职高 专 院 校 在 教学 实践 中 积极 提出 意见 和 建议 ,并 及 时 反馈 
给 我 们 。 清 华 大 学 出 版 社 将 对 已 出 版 的 教材 不 断 地 修订 、 完 善 ,提高 教材 质量 ,完善 教材 
服务 体系 ,为 我 国 的 高 职高 专 教育 继续 出 版 优秀 的 高 质量 的 教材 。 


清华 大 学 出 版 社 
高 职高 专 计算 机 任务 驱动 模式 教材 编审 委员 会 
2014 年 3 月 
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一 、 编 写 背 景 


近年 来 ,高 等 职业 技术 教育 得 到 了 飞速 发 展 ,学校 急需 适合 职业 教育 
特点 的 网 络 安全 课程 的 实用 型 教材 ,减少 枯燥 难 懂 的 理论 ,取而代之 的 是 
安全 建设 网 络 .安全 使 用 网 络 .安全 管理 网 络 等 实际 操作 应 用 能 力 的 培养 
与 训练 。 我 们 基于 全 国 职业 院 校 技 能 大 赛 网 络 信息 安全 国 赛 项 目 , 将 项 
目 内 容 分 解 为 多 个 任务 环节 ,通过 任务 来 实现 对 相关 知识 点 的 理解 和 
学 习 。 


二 、 本 书 特点 


本 书 是 和 四 川 福 立 盟 信息 技术 有 限 公 司 合作 共同 编写 的 “工学 结合 ” 
的 网 络 安全 项 目 化 教材 。 全 书 共 包含 10 个 教学 项 目 , 最 大 的 特色 是 “ 易 
教 易学 ”。 同 时 融合 了 国家 社 科学 基金 科研 项 目 青年 项 目 : 基于 维 哈 柯 
文 信息 的 电子 数据 司法 鉴定 问题 研究 (编号 : 13CFX055) 的 成 果 。 本 书 
主要 特点 如 下 。 

1. 体例 上 有 所 创新 

“教学 做 一 体 ”, 创 新 编写 模式 。 将 “教材 一 项 目 案例 一 工程 实践 ”对 
接 , 有 机 融合 项 目 式 教学 。 全 书 采用 “项 目 导向 ,任务 驱动 ”的 编写 方式 ， 
通过 工程 实例 的 学 习 增强 读者 对 知识 点 和 技能 点 的 掌握 。 

教材 大 部 分 章 按照 项目 导 入 ”一 “职业 能 力 目 标 和 要 求 *>“ 相 关 知 
识 点 ”一 “项 目 实施 ”一 “拓展 提升 ”一 习题 "层次 进行 组 织 。 

2. 内 容 上 注重 实用 

全 书 共有 10 个 项 目 : 

项 目 1 认识 网 络 安全 

项 目 2 网 络 攻击 与 防护 

项 目 3 网 络 数据 库 安 全 

项 目 4 计算 机 病毒 与 木马 防护 

项 目 5 使 用 Sniffer Pro 防护 网 络 

项 目 6 数据 加 密 


Till 
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项 目 7 Windows Server 系统 安全 
项 目 8 防火 墙 技 术 

项 目 9 无 线 局 域 网 安全 

项 目 10 Internet 安全 与 应 用 


三 、 教 学 大 纲 


参考 学 时 64 学 时 ,其 中 实践 环节 为 32 学 时 ,各 项 目的 参考 学 时 参见 下 面 的 学 时 分 
配 表 。 


: m 学 时 分 配 

章 节 课程 内 容 m Fm 
项 目 1 认识 网 络 安全 4 2 
项 目 2 网 络 攻击 与 防护 4 4 
项 目 3 网 络 数据 库 安 全 2 4 
项 目 4 计算 机 病毒 与 木马 防护 6 6 
项 目 5 使 用 Sniffer Pro 防护 网 络 4 4 
项 目 6 数据 加 密 4 4 
项 目 7 Windows Server 系统 安全 2 2 
项 目 8 防火 墙 技术 2 2 
项 目 9 无 线 局 域 网 安全 2 2 
项 目 10 Internet 安全 与 应 用 2 2 

课时 总 计 32 32 
、 其 他 


本 书 是 教学 名 师 \ 企 业 工 程 师 和 骨干 教师 共同 策划 编写 的 一 本 工学 结合 教材 。 由 贾 
如 春 、 沈 洋 、 库 德 来 提 。 热 西 提 担 任 主编 , 杨 云 、 崔 有 、 张 晓 理 担任 副 主 编 。 贡 如 春 编写 项 
H 2,3 BH. 9, 沈 洋 编写 项 目 4, 库 德 来 提 。 热 西 提 编写 项 目 5、 项 目 6、 项 目 8, 崔 鹏 编写 项 
H 1,38 El 10. KREASE 3、 项 目 7。 杨 云 编写 了 大 纲 以 及 项 目 6 和 项 目 7 中 的 部 分 
内 容 , 张 晖 、 金 月 光 、 李 明生 编写 了 项 目 5 的 部 分 内 容 。 

作者 E-mail: yangyun90@163. com, Windows 及 Linux 教师 交流 群 : 189934741 。 


编 者 
2015 年 5 H 
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11 项 目 导 入 


近 几 年 来 ,网 络 越 来 越 深 入 人 心 , 它 已 成 为 人 们 学 习 、 工 作 、 生 活 的 便捷 工具 ,并 为 
我 们 提供 了 丰富 资源 ,但 是 我 们 不 得 不 注意 到 ,网 络 虽然 有 强大 的 功能 ,但 也 有 会 受到 
攻击 而 非常 脆弱 的 一 面 。 据 美国 FBI 统计, 美国 每 年 因 网 络 安 全 问题 所 造成 的 经 济 损 
失 高 达 75 亿美 元 ,在 我 国 ,每 年 因 网 络 安全 问题 也 造成 了 巨大 的 经 济 损失 ,所 以 网 络 
安全 问题 是 我 们 决 不 能 忽视 的 问题 。 据 国外 媒体 报道 ,全 球 计 算 机 行业 协会 
(CCompTIA) 近 日 评 出 了 “当前 最 急需 的 10 项 IT 技术 ”, 结 果 安 全 和 防火 墙 技术 排名 首 
位 ,这 说 明 安 全 方面 的 问题 是 全 世界 都 急需 解决 的 重要 问题 ,我 们 所 面临 的 网 络 安全 
状况 有 多 尴 众 也 就 可 想 而 知 了 。 


12 项 目 分 析 


在 网 络 高 速 发 展 的 今天 ,人 们 在 享受 网 络 便捷 所 带 来 的 益处 的 同时 ,网 络 的 安全 也 日 
益 受 到 威胁 。 

网 络 攻击 行为 日 趋 复杂 ,各 种 方法 相互 融合 ,使 网 络 安全 防御 更 加 困难 。 黑 客 攻 击 行 
为 组 织 性 更 强 , 攻 击 目标 从 单纯 地 追求 “ 荣 浪 感 " 向 获取 多 方面 实际 利益 的 方向 转移 ,网 上 
木马 间谍 程 序 、 恶 意 网 站 、 网 络 仿 冒 等 的 出 现 和 日 趋 泛 滥 。 

智能 手机 平板 电脑 等 无 线 终端 的 处 理 能 力 和 功能 通用 性 日 益 提 高 ,使 其 日 趋 接近 个 
人 计算 机 ,针对 这 些 无 线 终端 的 网 络 攻击 已 经 开始 出 现 ,并 将 进一步 发 展 。 

总 之 ,网 络 安全 问题 变 得 更 加 错综复杂 ,影响 将 不 断 扩大 ,很 难 在 短期 内 得 到 全 面 
解决 。 

安全 问题 已 经 摆 在 了 非常 重要 的 位 置 上 ,网 络 安 全 如 果 不 加 以 防范 ,会 严重 地 影响 到 
网 络 的 应 用 。 
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13 相关 知识 点 


1.3.1 网 络 安全 概念 


1. 网 络 安全 的 重要 性 


(1) 计算 机 存储 和 处 理 的 是 有 关 国 家 安全 的 政治 ,经济 ,军事 、 国 防 的 情况 及 一 些 部 
门 、 机 构 、 组 织 的 机 密 信息 或 是 个 人 的 敏感 信息 、 隐 私 , 因 此 成 为 敌对 势力 \ 不 法 分 子 的 攻 
击 目标 。 

(2) 随 着 计算 机 系统 功能 的 日 益 完善 和 速度 的 不 断 提 高 ,系统 组 成 越 来 越 复杂 ,系统 
规模 越 来 越 大 ,特别 是 Internet 的 迅速 发 展 , 存 取 控 制 . 逻 辑 连接 数量 不 断 增 加 ,软件 规模 
空前 膨胀 ,任何 隐 含 的 缺陷 .失误 都 能 造成 巨大 损失 。 

CD. 人 们 对 计算 机 系统 的 需求 在 不 断 扩 大 ,这 类 需求 在 许多 方面 都 是 不 可 逆转 、 不 可 
替代 的 ,而 计算 机 系统 使 用 的 场所 正在 转向 工业 农业 .野外 天空 .海上 、 宇 宙 空 间 、 核 辆 
射 环境 等 ,这 些 环境 都 比 机 房 恶 劣 ,出 错 率 和 故障 的 增多 必 将 导致 可 靠 性 和 安全 性 的 
降低 。 

(4) 随 着 计算 机 系统 的 广泛 应 用 ,各 类 应 用 人 员 队 伍 迅 速 发 展 壮大 ,教育 和 培训 却 往 
往 跟 不 上 知识 更 新 的 需要 ,操作 人 员 ,编程 人 员 和 系统 分 析 人 员 的 失误 或 缺乏 经 验 都 会 造 
成 系统 的 安全 功能 出 现 问 题 。 

(5) 计算 机 网 络 安全 问题 涉及 许多 学 科 领 域 , 既 包括 自然 科学 ,又 包括 社会 科学 。 就 
计算 机 系统 的 应 用 而 言 , 安 全 技术 涉及 计算 机 技术 、 通 信 技 术 、 存 取 控 制 技术 、 校 验 认证 技 
术 、 容 错 技术 、 加 密 技术 、 防 病毒 技术 、 抗 干扰 技术 、 防 泄露 技术 等 ,因此 是 一 个 非常 复杂 的 
综合 问题 ,并 且 其 技术 、 方 法 和 措施 都 要 随 着 系统 应 用 环境 的 变化 而 不 断 变 化 。 

(6) 从 认识 论 的 高 度 看 ,人 们 往往 首先 关注 系统 功能 ,然后 才 被 动 地 从 现象 注意 系统 
应 用 的 安全 问题 。 因 此 广泛 存在 着 重 应 用 、 轻 安全 、 法 律 意识 淡薄 的 普遍 现象 。 计 算 机 系 
统 的 安全 是 相对 不 安全 而 言 的 ,许多 危险 .隐患 和 攻击 都 是 隐蔽 的 、 潜 在 的 、 难 以 明确 却 又 
广泛 存在 的 ,这 也 使 得 目前 不 少 网 络 信息 系统 都 存在 先天 性 的 安全 漏洞 和 安全 威胁 ,有 些 
甚至 产生 了 非常 严重 的 后 果 。 


2. 网 络 脆弱 的 原因 


(1) 开放 性 的 网 络 环境 : Internet 的 开放 性 ,使 网 络 变 成 众矢之的 ,可 能 遭受 各 方面 
的 攻击 ;Internet 的 国际 性 使 网 络 可 能 遭受 本 地 用 户 或 远程 用 户 、 国 外 用 户 或 国内 用 户 等 
的 攻击 ;Internet 的 自由 性 没有 给 网 络 的 使 用 者 规定 任何 的 条 款 ,导致 用 户 “ 太 自由 了 ”， 
自由 地 下 载 、 自 由 地 访问 、 自 由 地 发 布 ;Internet 使 用 的 傻瓜 性 使 任何 人 都 可 以 方便 地 访 
问 网 络 , 基 本 不 需要 技术 ,只 要 会 移动 鼠标 就 可 以 上 网 冲浪 ,这 就 给 我 们 带 来 很 多 的 隐患 。 
(2) 协议 本 身 的 缺陷 : 网 络 应 用 层 服务 的 隐患 : IP 层 通信 的 易 欺 骗 性 ;针对 ARP 的 
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欺骗 性 。 

(3) 操作 系统 的 漏洞 : 系统 模型 本 身 的 缺陷 ;操作 系统 存在 BUG ;操作 系统 程序 配置 
不 正确 。 

(4) 人 为 因素 : 缺乏 安全 意识 ,缺少 网 络 应 对 能 力 , 有 相当 一 部 分 人 认为 自己 的 计算 
机 中 没有 什么 重要 的 东西 ,不 会 被 别人 黑 , 存 在 这 种 侥幸 心理 、 重 装 系统 后 觉得 防范 很 麻 
烦 , 所 以 不 认真 对 待 安全 问题 ,造成 的 隐患 就 特别 多 。 

(5) 设备 不 安全 : 对 于 购买 的 国外 的 网 络 产品 ,到 底 有 没有 留 后 门 ,我们 根本 无 法 得 
知 ,这 对 于 缺乏 自主 技术 支撑 \ 依 赖 进口 的 国家 而 言 ,无 疑 是 最 大 的 安全 隐患 。 

(6) 线路 不 安全 : 不 管 是 有 线 介 质 、 双 绞 线 ,光纤 还 是 无 线 介 质 ,以 及 微波 、 红 外 、 卫 
星 、Wi-Fi 等 ,窃听 其 中 一 小 段 线路 的 信息 是 很 容易 做 到 的 ,没有 绝对 安全 的 通信 线路 。 


3. 网 络 安全 的 定义 


网 络 安 全 是 指 网 络 系统 的 硬件 ,软件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶然 的 或 者 恶 
意 的 原因 而 遭受 到 破坏 、 更 改 \ 泄 露 ,系统 连续 可 靠 正 常 地 运行 ,网 络 服 务 不 中 断 。 网 络 安 
全 包含 网 络 设备 安全 、 网 络 信 息 安全 、 网 络 软件 安全 。 从 广义 来 说 ,凡是 涉及 网 络 上 信息 
的 保密 性 、 完 整 性 .可 用 性 ,真实 性 和 可 控 性 的 相关 技术 和 理论 都 是 网 络 安全 的 研究 领域 。 
网 络 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 、 通 信 技 术 、 密 码 技术 、 信 息 安全 技术 、 应 用 数 
学 ,数论 .信息 论 等 多 种 学 科 的 综合 性 学 科 。 


4. 网 络 安全 的 基本 要 素 


COD 机 密 性 (保密 性 ): 确保 信息 不 暴露 给 未 授权 的 实体 或 进程 ; 防 汇 密 。 

(2) 完整 性 : 只 有 得 到 允许 的 人 才能 修改 实体 或 进程 ,并 且 能 够 判别 出 实体 或 进程 
是 否 已 被 修改 。 完 整 性 鉴别 机 制 , 保 证 只 有 得 到 允许 的 人 才能 修改 数据 ;防止 自 改 。 

(3) 可 用 性 : 得 到 授权 的 实体 可 获得 服务 ,攻击 者 不 能 占用 所 有 的 资源 而 阻碍 授权 
者 的 工作 。 用 访问 控制 机 制 阻止 非 授权 用 户 进入 网 络 。 使 静态 信息 可 见 ,动态 信息 可 操 
作 。 防 止 中 断 。 

(4) 可 鉴别 性 (可 审查 性 ): 对 危害 国家 信息 (包括 利用 加 密 的 非法 通信 活动 ) 的 监视 
审计 。 控 制 授权 范围 内 的 信息 流向 及 行为 方式 。 使 用 授权 机 制 ,控制 信息 传播 范围 及 内 
容 , 必 要 时 能 恢复 密 钥 ,实现 对 网 络 资源 及 信息 的 可 控 性 。 

(5) 不 可 抵赖 性 : 建立 有 效 的 责任 机 制 ,防止 用 户 否 认 其 行为 ,这 一 点 在 电子 商务 中 
是 极其 重要 的 。 


1.3.2 典型 的 网 络 安全 事件 


1995 年 , 米 特 尼 克 间 入 许多 计算 机 网 络 ,偷窃 了 2 万 个 信用 卡号 。 他 曾 冯 人 * 北 美空 

中 防务 指挥 系统 ”, 破 译 了 美国 著名 的 “太平 洋 电话 公司 ?在 南 加 利 福 尼 亚 州 通信 网 络 的 
“账户 修改 密码 ”, 入 侵 过 美国 DEC 等 5 家 大 公司 的 网 络 ,造成 8000 万 美元 的 损失 。 

1999 年 ,中国 台 湾 省 大 学 生 陈 盈 豪 制造 的 CIH 病毒 在 4 月 26 日 改作, 引起 全 球 震 
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R.A 6000 多 万 台 计 算 机 受害 。 

2002 年 ,黑客 用 DDos 攻击 而 影响 了 13 4-38 DNS” 中 的 8 个 ,作为 整个 Internet 通 
信 路 标的 关键 系统 遭 到 严重 的 破坏 。 

2006 年 “熊猫 烧香 木马 致使 我 国 数 百 万 计算 机 用 户 受 到 感染 ,并 波及 周边 国家 。 

2007 年 2 月 “熊猫 烧香 ”制作 者 李 俊 被 捕 。 

2008 年 ,一 个 全 球 性 的 黑客 组 织 , 利 用 ATM 欺诈 程序 在 一 夜 之 间 从 世界 49 个 城市 
的 银行 中 资 走 了 900 万 美元 。 

2009 年 ,韩国 遭受 有 史 以 来 最 猛烈 的 一 次 黑客 攻击 。 韩 国 总 统 府 、 国 会 .国情 院 和 国 
防 部 等 国家 机 关 , 以 及 金融 界 、 媒 体 和 防火 墙 企 业 网 站 遭受 攻击 ,造成 网 站 一 度 无 法 访问 。 

2010 年 ,“ 维 基 解 密 ” 网 站 在 《纽约 时 报 》《 卫 报 》 和 《 镜 报 ) 配 合 下 ,在 网 上 公开 了 多 达 
9. 2 万 份 的 驻 阿 美军 秘密 文件 ,引起 轩然大波 。 

2011 年 , 堪 称 中 国 互联 网 史上 最 大 泄密 事件 发 生 。 当 年 的 12 月 中 旬 ,CSDN 网 站 用 
户 数 据 库 被 黑客 在 网 上 公开 ,大 约 600 余 万 个 注册 邮箱 账号 和 与 之 对 应 的 明文 密码 泄露 。 
2012 年 1 月 12 日 ,CSDN 泄密 的 两 名 嫌疑 人 被 刑事 拘留 。 其 中 一 名 为 北京 籍 黑客 ; 另 一 
名 为 外 地 黑客 。 

2013 年 6 月 5 日 ,美国 前 中 情 局 (CIA) 职 员 爱 德 华 ， 斯 诺顿 披露 给 媒体 两 份 绝密 资 
料 , 一 份 资料 称 : 美国 国家 安全 局 有 一 项 代号 为 “棱镜 ”的 秘密 项 目 , 要 求 电 信 巨 头 威 瑞 森 
公司 必须 每 天 上 交 数 百 万 用 户 的 通话 记录 。 另 一 份 资料 更 加 惊人 ,美国 国家 安全 局 和 联 
邦 调查 局 通过 进入 微软 .谷歌 .苹果 等 九 大 网 络 巨 头 的 服务 器 ,监控 美国 公民 的 电子 邮件 、 
聊天 记录 等 秘密 资料 。 

2014 年 4 月 8 日 ,“ 地 震级 "网络 灾 难 降临 ,在 微软 Windows XP 操作 系统 正式 停止 
服务 的 同一 天 ,互联 网 被 划 出 一 道 致 命 裂口 一 一 常用 于 电 商 、 支 付 类 接口 等 安全 极 高 网 站 
的 网 络 安全 协议 OpenSSL 被 曝 存 在 高 危 漏 洞 ,众多 使 用 HTTPs 的 网 站 均 可 能 受到 影 
Wl ,在 “心脏 出 血 ? 漏 洞 逐渐 修补 结束 后 ,由 于 用 户 很 多 软件 中 也 存在 该 漏洞 ,黑客 攻击 目 
标 存在 从 服务 器 转身 客户 端的 可 能 性 ,下 一 步 有 可 能 出 现 * 血 崩 ? 攻 击 。 


1.3.3 信息 安全 的 发 展 历程 


1. 通信 保密 阶段 ComSec( Communication Security) 


通信 保密 阶段 始 于 20 世纪 40 年 代 至 70 年 代 , 又 称 为 通信 安全 时 代 , 其 重点 是 通过 
密码 技术 解决 通信 保密 问题 ,保证 数据 的 保密 性 和 完整 性 , 主要 安全 威胁 是 搭 线 窃 听 、 密 
码 学 分 析 , 主 要 保护 措施 是 加 密 技术 ,主要 标志 是 1949 年 Shannon 发 表 的 《保密 通信 的 
信息 理论 》、1997 年 美国 国家 标准 局 公布 的 数据 加 密 标 准 (DES)、1976 年 Diffie 和 
hellman 在 New Directions in Cryptography 一 文中 所 提出 的 公 钥 密码 体制 。 


2. 计算 机 安全 阶段 
计算 机 安全 阶段 始 于 20 世纪 70 年 代 至 80 年 代 , 重 点 是 确保 计算 机 系统 中 硬件 、 软 
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件 及 正在 处 理 , 存 储 \ 传 输 信息 的 机 密 性 、 完 整 性 和 可 用 性 ,主要 安全 威胁 扩展 到 非法 访 
问 、 恶 意 人 代码、 脆弱 口令 等 ,主要 保护 措施 是 安全 操作 系统 设计 技术 (TCB) ,主要 标志 是 
1985 年 美国 国防 部 (DoD) 公 布 的 可 信 计 算 机 系统 评估 准则 (TCSEC «d He BO E E IR UE 
的 安全 级 别 分 为 4 类 7 个 级 别 (D、Cl1、C2、Bl1、B2、B3、A1l1), 后 补充 红皮书 TNI(1987) 和 
紫 皮 书 TDI(1991) 等 ,构成 彩虹 (Rainbow) 系 列 。 


3. 信息 技术 安全 阶段 


信息 技术 安全 阶段 始 于 20 世纪 80 年 代 至 90 年 代 , 重 点 是 保护 信息 ,确保 信息 在 存 
储 、 处 理 、 传 输 过 程 中 及 信息 系统 不 被 破坏 ,确保 合法 用 户 的 服务 和 限制 非 授 权 用 户 的 服 
务 , 以 及 必要 的 防御 攻击 的 措施 。 强 调 信息 的 保密 性 、 完 整 性 .可 控 性 .可 用 性 等 。 主 要 安 
全 威胁 发 展 到 网 络 人 侵 、 病 毒 破坏 、 信 息 对 抗 的 攻击 等 。 主 要 保护 措施 包括 防火 墙 、 防 病 
毒 软 件 .漏洞 扫描 \ 和 人 侵 检测 .PKI`VPN 安全 管理 等 。 主 要 标志 是 提出 了 新 的 安全 评估 
准则 CC(ISO 15408,GB/T 18336) 。 


4. 信息 保障 阶段 


信息 保障 阶段 始 于 20 世纪 90 年 代 后 期 ,重点 放 在 保障 国家 信息 基础 设施 不 被 破坏 ， 
确保 信息 基础 设施 在 受到 攻击 的 前 提 下 能 够 最 大 限度 地 发 挥 作 用 。 强 调 系统 的 鲁 棒 性 和 
容 灾 特性 。 主 要 安全 威胁 发 展 到 集团 、 国 家 的 有 组 织 地 对 信息 基础 设施 进行 攻击 等 。 主 
要 保护 措施 是 灾 备 技术 ,建设 面向 网 络 恐 怖 与 网 络 犯罪 的 国际 法 律 秩序 与 国际 联动 的 网 
络 安全 事件 的 应 急 响 应 技术 。 主 要 标志 是 美国 推出 的 “保护 美国 计算 机 空间 ”(PDD-63) 
的 体系 框架 。 


1.3.4 网 络 安全 所 涉及 的 内 容 


1. 物理 安全 


网 络 的 物理 安全 是 整个 网 络 系统 安全 的 前 提 。 在 网 络 工 程 建 设 中 ,由 于 网 络 系统 属 
于 弱电 工程 , 耐 压 值 很 低 。 因 此 ,在 网 络 工程 的 设计 和 施工 中 ,必须 优先 考虑 保护 人 和 网 
络 设备 不 受 电 \ 火 灾 和 雷击 的 侵害 ;考虑 布线 系统 与 照明 电线 、 动 力 电线 、 通 信 线 路 、 暖 气 
管道 及 冷 热 空 气管 道 之 间 的 距离 ;考虑 布线 系统 和 绝缘 线 、 裸 体 线 以 及 接地 与 焊接 的 安 
全 ;必须 建设 防 雷 系 统 , 防 雷 系 统 不 仅 考 虑 建筑 物 防 雷 ,还 必须 考虑 计算 机 及 其 他 弱电 耐 
压 设备 的 防 雷 。 总 体 来 说 ,物理 安全 的 风险 主要 有 ,地 震 , 水 灾 、 火 灾 等 环境 安全 ;电源 故 
障 ; 人 为 操作 失误 或 错误 ;设备 被 瓷 、 被 毁 ; 电 磁 干 扰 ; 线 路 截获 ;高 可 用 性 的 硬件 ; 双 机 多 
元 余 的 设计 ;机 房 环境 及 报警 系统 、 安 全 意识 等 设备 与 媒体 的 安全 ,因此 要 注意 这 些 安全 
隐患 ,同时 还 要 尽量 避免 网 络 的 物理 安全 风险 。 


2. 网 络 安全 


这 里 的 网 络 安全 主要 是 指 网 络 拓扑 结构 设计 影响 的 网 络 系统 的 安全 性 。 假 如 在 外 部 
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和 内 部 网 络 进行 通信 时 ,内 部 网 络 的 机 器 安全 就 会 受到 威胁 ,同时 也 影响 在 同一 网 络 上 的 
许多 其 他 系统 。 透 过 网 络 传播 ,还 会 影响 到 连 上 Internet/Intranet 和 其 他 的 网 络 ;影响 所 
及 ,还 可 能 涉及 法 律 .金融 等 安全 敏感 领域 。 因 此 ,在 设计 时 有 必要 将 公开 服务 器 (Web、 
DNS, E-mail 等 ) 和 外 网 及 内 部 其 他 业务 网 络 进行 必要 的 隔离 ,避免 网 络 结构 信息 外 泄 ; 
同时 还 要 对 外 网 的 服务 请 求 加 以 过 滤 ,只 允许 正常 通信 的 数据 包 到 达 相 应 主机 ,其 他 的 请 
求 服务 在 到 达 主 机 之 前 就 应 该 遭 到 拒绝 。 


3. 系统 安全 


所 谓 系 统 的 安全 是 指 整个 网 络 操作 系统 和 网 络 硬件 平台 是 否 可 靠 量 值得 信任 。 恺 怕 
没有 绝对 安全 的 操作 系统 可 以 选择 ,无论 是 Microsoft 的 Windows 系统 或 者 其 他 任何 商 
用 的 UNIX 操作 系统 ,其 开发 厂商 必须 有 其 Back-Door( 后 门 )。 因 此 ,我 们 可 以 得 出 如 下 
结论 : 没有 安全 的 操作 系统 。 不 同 的 用 户 应 首先 从 不 同 的 方面 对 其 网 络 作 详尽 的 分 析 ， 
选择 安全 性 尽 可 能 高 的 操作 系统 。 因 此 不 但 要 选用 尽 可 能 可 靠 的 操作 系统 和 硬件 平台 ， 
并 对 操作 系统 进行 安全 配置 。 而 且 , 必 须 加 强 登 录 过 程 的 认证 (特别 是 在 到 达 服 务 器 主机 
之 前 的 认证 ) ,确保 用 户 的 合法 性 ;其 次 应 该 严格 限制 登录 者 的 操作 权限 ,将 其 完成 的 操作 
限制 在 最 小 的 范围 内 。 


4. 应 用 安全 


应 用 安全 涉及 的 方面 很 多 ,以 Internet 上 应 用 最 为 广泛 的 E-mail 系统 来 说 ,其 解决 
方案 有 Sendmail, Netscape Messaging Server, SoftwareCom Post. Office, Lotus Notes, 
Exchange Server, SUN CIMS 等 20 多 种 。 其 安全 手段 涉及 LDAP,DES,RSA 等 各 种 方 
式 。 应 用 系统 是 不 断 发 展 且 应 用 类 型 是 不 断 增加 的 。 在 应 用 系统 的 安全 性 上 ,应 尽 可 能 
建立 安全 的 系统 平台 ,而 且 通 过 专业 的 安全 工具 不 断 发 现 漏洞 .修补 漏洞 ,从 而 提高 系统 
的 安全 性 。 

信息 的 安全 性 涉及 机 密 信息 泄露 ,未 经 授权 的 访问 ,破坏 信息 完整 性 ,假冒 .破坏 系统 
的 可 用 性 等 。 在 某 些 网 络 系统 中 涉及 很 多 机 密 信 息 ,如果 一 些 重 要 信息 遭 到 窃取 或 破坏 ， 
它 的 经 济 、 社 会 影响 和 政治 影响 将 是 很 严重 的 。 因 此 ,对 用 户 使 用 计算 机 必须 进行 身份 认 
证 ,对 于 重要 信息 的 通信 必须 授权 ,传输 必须 加 密 。 应 采用 多 层次 的 访问 控制 与 权限 控制 
手段 实现 对 数据 的 安全 保护 ;采用 加 密 技术 ,保证 网 上 传输 的 信息 (包括 管理 员 口 令 与 账 
户 、 上 传 信息 等 ) 的 机 密 性 与 完整 性 。 


5. 管理 安全 


管理 安全 是 网 络 安全 中 最 重要 的 部 分 。 责 任 不 明确 、 安 全 管理 制度 不 健全 及 缺乏 可 
操作 性 等 都 可 能 引起 管理 安全 的 风险 。 当 网 络 出 现 攻 击 行为 或 网 络 受 到 其 他 一 些 安全 威 
胁 时 (如 内 部 人 员 的 违规 操作 等 ) ,无 法 进行 实时 的 检测 、 监 控 \ 报 告 与 预警 。 同 时 , 当 事 故 
发 生 后 ,也 无 法 提供 黑客 攻击 行为 的 追踪 线索 及 破案 依据 , 即 缺 乏 对 网 络 的 可 控 性 与 可 审 
查 性 。 这 就 要 求 我 们 必须 对 站 点 的 访问 活动 进行 多 层次 的 记录 ,及 时 发 现 非法 入 侵 行 为 。 

建立 全 新 网 络 安全 机 制 , 必 须 深刻 理解 网 络 并 能 提供 直接 的 解决 方案 ,因此 ,最 可 行 
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的 做 法 是 制定 健全 的 管理 制度 并 与 严格 的 管理 相 结合 。 保 障 网 络 的 安全 运行 ,使 其 成 为 
一 个 具有 良好 的 安全 性 、 可 扩充 性 和 易 管 理性 的 信息 网 络 便 成 为 首要 任务 。 一 旦 上 述 的 
安全 隐患 成 为 事实 ,所 造成 的 对 整个 网 络 的 损失 都 是 难以 估计 的 。 因 此 ,网 络 的 安全 是 网 
络 建设 过 程 中 重要 的 一 环 。 


1.3.5 网 络 安全 防护 体系 


1. 网 络 安全 的 威胁 


所 谓 网 络 安 全 的 威胁 是 指 某 个 实体 (人 、 事 件 ,程序 等 ) 对 某 一 资源 的 机 密 性 、 完 整 性 、 
可 用 性 在 合法 使 用 时 可 能 造成 的 危害 。 这 些 可 能 出 现 的 危害 ,是 某 些 个 别有用心 的 人 通 
过 天 下 一 定 的 攻击 手段 来 实现 的 。 

网 络 安 全 的 主要 威胁 有 : 非 授 权 访 问 、 冒 充 合法 用 户 、 破 坏 数 据 完整 性 干扰 系统 正 
常 运行 .利用 网 络 传播 病毒 线路 窃听 等 。 


2. 网 络 安全 的 防护 体系 


网 络 安全 防护 体系 是 由 安全 操作 系统 、 应 用 系统 、 防 火 墙 、 网 络 监 控 \ 安 全 扫描 通信 
加 密 、 网 络 反 病毒 等 多 个 安全 组 件 共同 组 成 的 ,每 个 组 件 只 能 完成 其 中 部 分 功能 。 


3. 数据 保密 


我 们 为 什么 需要 数据 保密 呢 ? 看 下 面 的 案例 。 

某 网 游 公司 因 核心 开 发 人 员外 泄 相关 技术 及 营业 秘密 ,向 法 院 提 出 诉讼 ,要 求 赔偿 
65 亿 韩 元 的 损失 费 。 而 网 游 公司 也 只 能 从 零 开始 。 

某 员工 参与 军工 科研 所 科研 的 多 份 保密 资料 和 文件 都 落 人 境外 情报 机 关 之 手 。 间 恋 
通过 暗藏 木马 程序 ,可 远程 控制 该 计算 机 并 盗 取 绝密 资料 。 

某 央 企 因 机 器 中 病毒 程序 将 单位 办 公 系 统 中 的 红头 文件 发 往 中 国 台 湾 的 途中 被 网 监 
截获 ,被 国资 委 多 次 点 名 批评 。 

据 专业 机 构 调查 ,数据 泄密 每 年 损失 百 亿 ,并 呈 逐 年 上 升 的 态势 。 

从 上 面 的 案例 中 不 难看 出 ,数据 是 各 行 各 业 的 核心 , 若 各 行 各 业 对 数据 不 采取 保密 措 
施 , 很 容易 造成 数据 外 泄 , 从 而 造成 重大 损失 ,那么 如 何 将 数据 进行 保密 呢 ? 下 面 介 绍 数 
据 信息 保密 性 安全 规范 。 

数据 信息 保密 性 安全 规范 用 于 保障 业务 重要 业务 数据 信息 的 安全 传递 与 处 理应 用 ， 
确保 数据 信息 能 够 被 安全 方便 、 透 明 地 使 用 。 为 此 ,业务 平台 应 采用 加 密 等 安全 措施 来 
保证 数据 信息 的 保密 性 。 

。 应 采用 加 密 措 施 实现 重要 业务 数据 传输 的 保密 性 。 

* 应 采用 加 密 措 施 实现 重要 业务 数据 存储 的 保密 性 。 

加 密 安 全 措施 主要 分 为 密码 安全 及 密 钥 安全 。 
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(1) 密码 安全 
密码 的 使 用 应 该 遵循 以 下 原则 : 
。 不 能 将 密码 写 下 来 ,不 能 通过 电子 邮件 传输 。 
* 不 能 使 用 默认 设置 的 密码 。 
。 不 能 将 密码 告诉 别人 。 
。 如 果 系 统 的 密码 泄露 了 ,必须 立即 更 改 。 
。 密码 要 以 加 密 形 式 保存 ,加 密 算法 强度 要 高 ,加 密 算 法 要 不 可 着。 
。 系统 应 该 强制 指定 密码 的 策略 ,包括 密码 的 最 短 有 效 期 .最 长 有 效 期 .最 短 长 度 、 
。 如 果 需 要 特殊 用 户 的 口令 ,要 禁止 通过 该 用 户 进行 交互 式 登录 。 
。 在 要 求 较 高 的 情况 下 可 以 使 用 强度 更 高 的 认证 机 制 , 例 如 : 双 因 素 认 证 。 
* 要 定时 运行 密码 检查 器 检查 口令 强度 ,对 于 保存 机 密 和 绝密 信息 的 系统 ,应 该 每 
周 检查 一 次 口令 强度 ;其 他 系统 应 该 每 月 检查 一 次 。 
(2) 密 钥 安全 
密 钥 管理 对 于 有 效 使 用 密码 技术 至 关 重要 。 密 钥 的 丢失 和 泄露 可 能 会 损害 数据 信息 
的 保密 性 、 重 要 性 和 完整 性 。 因 此 ,应 采取 加 密 技术 等 措施 来 有 效 保护 密 钥 ,以 免 密 钥 被 
非法 修改 和 破坏 ;还 应 对 生成 .存储 和 归档 保存 密 钥 的 设备 采取 物理 保护 。 此 外 ,必须 使 
用 经 过 业务 平台 部 门 批准 的 加 密 机 制 进行 密 钥 分 发 ,并 记录 密 钥 的 分 发 过 程 ,以 便 审计 跟 
踪 , 统 一 对 密 钥 .证 书 进行 管理 。 
密 钥 的 管理 应 该 基于 以 下 流程 。 
。 密 钥 产生 : 为 不 同 的 密码 系统 和 不 同 的 应 用 生成 密 钥 。 
。 密 钥 证 书 : 生成 并 获取 密 钥 证 书 。 
。 密 钥 分 发 : 向 目标 用 户 分 发 密 钥 ,包括 在 收 到 密 钥 时 如 何 将 之 激活 。 
。 密 钥 存储 : 为 当前 或 近期 使 用 的 密 钥 或 备份 密 钥 提供 安全 存储 ,包括 授权 用 户 如 
何 访问 密 钥 。 
。 密 钥 变更 : 包括 密 钥 变 更 时 机 及 变更 规则 ,及 时 处 置 被 泄露 的 密 钥 。 
。 密 钥 撤销 : 包括 如 何 收回 或 者 去 激活 密 钥 ,如 在 密 钥 已 被 泄露 或 者 相关 运 维 操作 
员 离 开业 务 平台 部 门 时 (在 这 种 情况 下 ,应 当归 档 密 钥 ) 。 
。 密 钥 恢复 : 作为 业务 平台 连续 性 管理 的 一 部 分 ,对 丢失 或 破坏 的 密 钥 进行 恢复 。 
* 密 钥 归档 : 归档 密 钥 ,以 用 于 归档 或 备份 的 数据 信息 。 
。 密 钥 销毁 : 密 钥 销毁 将 删除 该 密 钥 管理 下 数据 信息 客体 的 所 有 记录 ,并 且 无 法 恢 
复 , 因 此 ,在 密 钥 销毁 前 ,应 确认 由 此 密 钥 保护 的 数据 信息 不 再 需要 。 


4. 访问 控制 技术 


防止 对 任何 资源 进行 未 授权 的 访问 ,从 而 使 计算 机 系统 在 合法 的 范围 内 使 用 。 访 问 
控制 技术 是 通过 用 户 身份 及 其 所 归属 的 某 项 定义 组 来 限制 用 户 对 某 些 信息 项 的 访问 ,或 
限制 对 某 些 控制 功能 的 使 用 的 一 种 技术 ,如 UniNAC 网 络 准 入 控制 系统 的 原理 就 是 基于 
此 技术 之 上 。 访 问 控制 通常 用 于 系统 管理 员 控制 用 户 对 服务 器 、 目 录 、 文 件 等 网 络 资源 的 
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访问 。 

访问 控制 (Access Control) 指 系统 对 用 户 身 份 及 其 所 属 的 预先 定义 的 策略 组 限制 其 
使 用 数据 资源 能 力 的 手段 。 通 常用 于 系统 管理 员 控 制 用 户 对 服务 器 .目录 文件 等 网 络 资 
源 的 访问 。 访 问 控制 是 系统 保密 性 完整 性 .可 用 性 和 合法 使 用 性 的 重要 基础 ,是 网 络 安 
全 防范 和 资源 保护 的 关键 策略 之 一 ,也 是 主体 依据 某 些 控制 策略 或 权限 对 客体 本 身 或 其 
资源 进行 的 不 同 授权 访问 。 

访问 控制 包括 三 个 要 素 : 主体 、 客 体 和 控制 策略 。 

CD 主体 SCSubjecO : 是 指 提出 访问 资源 具体 请 求 , 是 某 一 操作 动作 的 发 起 者 ,但 不 
一 定 是 动作 的 执行 者 ,可 能 是 某 一 用 户 ,也 可 以 是 用 户 启 动 的 进程 .服务 和 设备 等 。 

(2) 客体 OCObjecO : 是 指 被 访问 资源 的 实体 。 所 有 可 以 被 操作 的 信息 资源、 对 象 
都 可 以 是 客体 。 客 体 可 以 是 信息 文件 .记录 等 集合 体 , 也 可 以 是 网 络 上 硬件 设施 .无 限 通 
信 中 的 终端 ,甚至 可 以 包含 另外 一 个 客体 。 

(3) 控制 策略 ACAttribution) : 是 主体 对 客体 的 相关 访问 规则 集合 , 即 属性 集合 。 访 
问 策略 体现 了 一 种 授权 行为 ,也 是 客体 对 主体 某 些 操作 行为 的 默认 。 


5. 网 络 监控 


网 络 监控 ,是 针对 局 域 网 内 的 计算 机 进行 监视 和 控制 ,Emulex 针对 内 部 的 计算 机 上 
互联 网 活动 (上 网 监控 ) 以 及 非 上 网 相关 的 内 部 行为 与 资产 等 过 程 管理 (内 网 监控 ) 互 联网 
的 飞速 发 展 ,互联 网 的 使 用 越 来 越 普遍 ,网 络 和 互联 网 不 仅 成 为 企业 内 部 的 沟通 桥梁 ,也 
是 企业 和 外 部 进行 各 类 业务 往来 的 重要 管道 。 


6. 病毒 防护 


(1) 经 常 进行 数据 备份 ,特别 是 一 些 非常 重要 的 数据 及 文件 ,以 避免 被 病毒 侵入 后 无 
法 恢复 。 

(2) 对 于 新 购置 的 计算 机 \ 硬 盘 、 软 件 等 , 先 用 查 毒 软件 检测 后 方 可 使 用 。 

(3) 尽量 避免 在 无 防毒 软件 的 机 器 上 或 公用 机 器 上 使 用 可 移动 磁盘 ,以 免 感染 病毒 。 

CD 对 计算 机 的 使 用 权限 进行 严格 控制 ,禁止 来 历 不 明 的 人 和 软件 进入 系统 。 

(5) 采用 一 套 公 认 最 好 的 病毒 查 杀 软件 ,以 便 在 对 文件 和 磁盘 操作 时 进行 实时 监控 ， 
及 时 控制 病毒 的 入侵 ,并 及 时 可 靠 地 升级 反 病毒 产品 。 


1.3.6 网 络 安全 模型 


网 络 安全 模型 是 动态 网 络 安全 过 程 的 抽象 描述 。 通 过 对 安全 模型 的 研究 ,了 解 安 全 
动态 过 程 的 构成 因素 ,是 构建 合理 而 实用 的 安全 策略 体系 的 前 提 之 一 。 为 了 达到 安全 防 
范 的 目标 ,需要 合理 的 网 络 安全 模型 ,再 指导 网 络 安全 工作 的 部 署 和 管理 。 目 前 ,在 网 络 
安全 领域 存在 较 多 的 网 络 安全 模型 ,下 面 介 绍 常见 的 PDRR 安全 模型 和 PPDR 安全 
模型 。 
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1. PDRR 安全 模型 


PDRR 是 美国 国防 部 提出 的 常见 安全 模型 , 它 概 括 了 网 络 安全 的 整个 环节 , 即 防 护 
(Protect) ,检测 (Detect) 、 响 应 (React) , PX & (Restore). 3X 4 个 部 分 构成 了 一 个 动态 的 信 
息 安全 周期 ,如 图 1-1 所 示 。 


2. PPDR 安全 模型 


PPDR 是 美国 国际 互联 网 安全 系统 公司 提出 的 可 适应 网 络 安全 模型 , 它 包括 策略 
(Pollicy) 、 保 护 (Protection) | illl (Detection) 、 响 应 (Response)4 个 部 分 。PPDR 模型 如 
图 1-2 所 示 。 


防护 (P) 


保护 (P) 


(KER J 安全 策略 -一 emo» ) 


响应 (R) 


图 1-1 动态 的 信息 安全 周期 图 1-2 PPDR 模型 


1.3.7 网 络 安全 体系 


构建 一 个 健全 的 网 络 安全 体系 ,需要 对 网 络 安全 风险 进行 全 面 评 估 ,并 制定 合理 的 安 
全 策略 ,采取 有 效 的 安全 措施 ,才能 从 根本 上 保证 网 络 的 安全 。 


1.3.8 网 络 安全 标准 


1. TCSEC 标准 

美国 国防 部 的 可 信 计 算 机 系统 评价 准则 由 美国 国防 科学 委员 会 提出 ,并 于 1985 年 
12 月 由 美国 国防 部 公布 。 它 将 安全 分 为 4 个 方面 : 安全 政策 、 可 说 明 性 、 安 全 保障 和 文 
档 。 该 标准 将 以 上 4 个 方面 分 为 7 个 安全 级 别 , 按 安全 程度 从 最 低 到 最 高 依次 是 D.C1、 
C2、B1、B2、B3、A, 见 表 1-1. 

2. 我国 的 安全 标准 

我 国 的 安全 标准 是 由 公安 部 主持 制定 .国家 技术 标准 局 发 布 的 国家 标准 GB 17895- 
1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》。 该 准则 将 信息 系统 安全 分 为 以 下 5 个 等 级 。 
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表 11 可 信 计 算 机 系统 评价 准则 


类 别 | 级 别 名 K 主要 特征 

D D 低级 保护 保护 措施 很 少 ,没有 安全 功能 

Ci 自主 安全 保护 自主 存储 控制 
C2 受 控 存 储 控制 单独 的 可 查 性 ,安全 标识 
Bl 标识 的 安全 保护 强调 存 取 控 制 ,安全 标识 

B B2 结构 化 保护 面向 安全 的 体系 结构 ,有 较 好 的 搞 渗 透 能 力 
B3 安全 区 域 存 取 监控 、 高 抗 渗透 能 力 

A A 验证 设计 形式 化 的 最 高 级 描述 ,验证 和 隐秘 通道 分 析 

(1) 用 户 自主 保护 级 。 


(2) 系统 审计 保护 级 。 
(3) 安全 标记 保护 级 。 
(4) 结构 化 保护 级 。 

(5) 访问 验证 保护 级 。 


1.3.9 网 络 安全 目标 

目标 的 合理 设置 对 网 络 安全 意义 重大 。 目 标 过 低 , 达 不 到 防护 目的 ;目标 过 高 ,要 求 
的 人 力 和 物力 多 ,可 能 导致 资源 的 浪费 。 网 络 安全 的 目标 主要 表现 在 以 下 方面 。 

1. 可 靠 性 


可 靠 性 是 网 络 安全 的 最 基本 要 求 之 一 。 可 靠 性 主要 包括 硬件 可 靠 性 .软件 可 靠 性 .人 
员 可 靠 性 、 环 境 可 靠 性 。 


2. 可 用 性 


可 用 性 是 网 络 系统 面向 用 户 的 安全 性 能 ,要 求 网 络 信息 可 被 授权 实体 访问 并 按 要 求 
使 用 ,包括 对 静态 信息 的 可 操作 性 和 动态 信息 的 可 见 性 。 


3. 保密 性 


保密 性 建立 在 可 靠 性 和 可 用 性 基础 上 ,保证 网 络 信息 只 能 由 授权 的 用 户 读 取 。 常 用 
的 信息 保密 技术 有 : 防 侦 听 ,信息 加 密 和 物理 保密 。 


4. 完整 性 


完整 性 要 求 网 络 信息 未 经 授权 不 能 进行 修改 ,网 络 信息 在 存储 或 传输 过 程 中 要 保持 
不 被 偶然 或 蓄意 地 删除 、 修 改 、 伪 造 等 ,防止 网 络 信息 被 破坏 和 丢失 。 
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任务 1-1 安装 和 使 用 Wireshark 


1. 安装 Wireshark 


从 网 络 中 下 载 Wireshark 1. 12. 0 版 本 并 开始 安装 ,如 图 1-3 所 示 。 


ME Wireshark 1.12.0 (32-bit) Setup [e] e Tw 


Welcome to the Wireshark 1.12.0 
(32-bit) Setup Wizard 

This wizard wil guide you through the installation of 
Wireshark. 


Before starting the instalation, make sure Wireshark is not 
rumning. 


Click Next to continue. 


NT 


图 1-3 Wireshark 安装 界面 (1) 


单 击 Next 按钮 之 后 ,出 现 如 图 1-4 所 示 界 面 。 
[Æ Wireshark 1.12.0 (32-bit) Setup ee S| 


Please review the license terms before instaling Wireshark 1.12.0 (32-bit). 


Press Page Down to see the rest of the agreement. 


[This text consists of three parts: ^ 


Part I: Some remarks regarding the license given in 
Part II: The actual icense that covers Wireshark. 
Part III: Other applicable licenses. 


[When in doubt: Part II/II is the legally binding part, Part I is just 
[there to make it easier for people that are not familar with the GPLv2. 


If you accept the terms of the agreement, dick I Agree to continue. You must accept the. 
agreement to install Wireshark 1.12.0 (32-bit). 


(sme onte ) (cme ) 


图 1-4 Wireshark 安装 界面 (2) 
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单 击 I Agree 按钮 之 后 ,出 现 选择 安装 组 件 界面 ,可 根据 需要 选择 ,这 里 选择 默认 值 ， 
单 击 Next 按钮 ,之 后 出 现 选择 附加 任务 的 界面 ,如 图 1-5 所 示 。 


® Associate trace fle extensions to Wireshark 
© Associate trace file extensions to Wireshark 2 Preview 
© None 


Extensions: Svw, acp, apc, atc, bfr, cap, enc, erf, fdc, out, pcap, 
pcapng, pkt, rf5, snoop, syc, tpc, tr1, trace, trc, vwr, wpc, wpz 
Wireshark Installer (tm) 


(«Bk j| Nex> ] 


图 1-5 Wireshark 安装 界面 (3) 


单 击 Next 按钮 之 后 ,出 现 选择 安装 路 径 的 画面 ,可 以 根据 情况 自行 选择 。 选 择 好 
后 , 单 击 Next 按钮 ,出 现 安装 界面 , 单 击 Install 按钮 ,出现 如 图 1-6 所 示 界 面 。 


Installing 
Please wait while Wireshark 1.12.0 (32-bit) is being installed. A 


Extract: lbwireshark.dl... 29% 
Output folder: C:\Program Files (x86)\Wireshark 
Extract: uninstall.exe 

Extract: wiretap-1.12.0.dl 

Extract: lbwireshark.dl... 29% 


Wireshark Installer (tm) 


[cek Jò nt> ] 
1-6 Wireshark 安装 界面 (4) 
软件 安装 成 功 ,进入 Wireshark 环境 ,如 图 1-7 所 示 。 
2. 使 用 Wireshark 


(D). Wireshark 菜单 项 的 用 法 
下 面 介绍 Wireshark 菜单 项 的 使 用 方法 ,主要 包括 如 下 内 容 。 
File 一 一 包括 打开 、 合 并 捕 提 文件 ,保存 .打印 文件 .导出 捕捉 文件 的 全 部 或 一 部 分 ， 
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以 及 退出 Wireshark ,如 图 1-8 所 示 。 


Ele Edt View Go Capture Analyze Statstcs Telephony Took ]ntema& Hep 
eesmanoxeguneooTtti eaamagomSTxE 
Fiter: | ~. Expression- Clear Apply Save 
E 1 — The World's Most Popular Network Protocol Analyzer 
WIRESHARK verson 1.12.0 (v1.12.0-0-g4fab41a from master-1.12 
TT e EN - 
æ Interface List Open Wel 
(Se e Open a previousy captured fie. R Vath 
(counts incoming packets) 
Open Recent: Use 
á Start B Thet 
LA Choose one or more interfaces to capture from, then Start @ Sample Captures 
A A rich assortment of example capture fies on the wiki e Sec 
Work 


[o] Capture Options 


«[ m J D 
| Ready to load or capture. No Packets | Profile: Default 


图 1-7 Wireshark 启动 界面 


Ele Edt View Go Capture Analyze Statistics Teleph 
B Open... ako | ou 

Open Recent BT 

Merge... 

Import from Hex Dump... -—À 
| X gose Crw 二 K 
| 7 
[D save 
Iu 


| 日 Save As... 
Fie Set 
Export Specified Packets... 
| Export Packet Dissections 
| Export Selected Packet Bytes... 
| Export PDUs to Fie... 
Export SSL Session Keys... 
Export Objects 


& Print... 
€ Qut 


n 
-> 


1-8 File 菜单 


File 菜单 中 部 分 菜单 项 作用 见 表 1-2. 
表 1-2 File 菜单 中 部 分 菜单 项 的 作用 
X 单项 快捷 键 d R 


Open... Ctr+0 件 用 于 浏览 


显示 “打开 文件 ”对 话 框 ,让 用 户 载 入 捕捉 文 


Open Recent 


选择 


弹出 一 个 子 菜单 ,显示 最 近 打 开 过 的 文件 供 
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描 xk 


快捷 键 


显示 “合并 捕 提 文件 ”的 对 话 框 。 让 用 户 选择 
一 个 文件 来 与 当前 打开 的 文件 合并 


Ctrl+Ww 


关闭 当前 捕捉 的 文件 。 如 果 未 保存 文件 , 系 
统 将 提示 用 户 是 否 保存 (如 果 预 设 了 禁止 提 
示 保 存 ,将 不 会 提示 ) 


Save 


Crl 十 S 


保存 当前 捕捉 的 文件 。 如 果 没 有 设置 默认 的 
保存 文件 名 ,Wireshark 会 提示 用 户 保存 文件 


Save As 


Shift 十 Ctrl 十 S 


将 当前 文件 保存 为 另外 一 个 文件 


File Set List Files 


将 会 弹出 一 个 对 话 框 显示 已 打开 文件 的 列表 


File Set> Next File 


如 果 当 前 载 人 的 文件 是 文件 集合 的 一 部 分 ,将 
会 跳 转 到 下 一 个 文件 ;如 果 不 是 ,将 会 跳 转 到 
最 后 一 个 文件 ,这 个 文件 选项 将 会 是 灰色 的 


File Set Previous Files 


如 果 当 前 文件 是 文件 集合 的 一 部 分 ,将 会 跳 
到 它 所 在 位 置 的 前 一 个 文件 ;否则 跳 到 文件 
集合 的 第 一 个 文件 ,同时 变 成 灰色 


Export> Selected Packet Bytes... 


导出 当前 在 Packet Byte 面板 选择 的 字 节 为 
二 进 制 文件 


Print 


Ctr-P 


打印 捕捉 包 的 全 部 或 部 分 ,将 会 弹出 “打印 ” 
对 话 框 


Quit 


Ctrl 十 Q 


退出 Wireshark。 如 果 未 保存 文件 , Wireshark 
会 提示 是 否 保存 


Edit 一 一 包括 如 下 项 目 : 查找 包 , 时 间 参 考 , 标 记 一 个 或 多 个 包 , 设 置 预 设 参数 ( 剪 
切 、 复 制 .粘贴 不 能 立即 执行 ), 如 图 1-9 所 示 。 


Find Next. 

Find Previous. 

Mark/Unmark Packet 

Mark Al Displayed Packets 
Unmark Al Displayed Packets 
Next Mark 

Previous Mark 


lonore/Unignore Packet 


Ignore Al Displayed Packets 
Unignore All Packets 


E © Set/Unset Time Reference 


Unset Al Time References 
Next Time Reference 
Previous Time Reference 

© Time Shift... 
Edit Packet 

& Packet Comment... 
Configuration Profies... 

Jé Preferences... 


图 1-9 Edit 菜单 
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Edit 菜单 项 的 介绍 见 表 1-3。 


表 1-3 Edit 菜单 项 


xXx 单项 LE 描 述 
Copy> As Filter Shift 十 Ctrl 十 C | 显示 过 滤 的 信息 并 复制 到 剪贴 板 
Find Packet... Ctr F 打开 一 个 对 话 框 来 查找 包 
e eam 在 使 用 Find Packet fr DUE BC RR Ade 
找 匹 配 规则 的 下 一 个 包 
Find Previous Ctr 十 B 查找 匹配 规则 的 前 一 个 包 
Mark/Unmark Packet Ctrl 十 M 标记 /取消 标记 当前 选择 的 包 


Next Mark 


Shift 十 Ctrl 十 N 


查找 下 一 个 被 标记 的 包 


Previous Mark 


Ctrl 十 Shift 十 B 


查找 前 一 个 被 标记 的 包 


Mark All Displayed Packets 标记 所 有 包 
Unmark All Displayed Packets 取消 标记 所 有 包 
Set/Unset Time Reference Ctrl 十 T 设置 或 取消 设置 时 间 参 考 包 


Next Time Reference 


找到 下 一 个 时 间 参 考 包 


Previous Time Refrence 


找到 前 一 个 时 间 参 考 包 


打开 首选 项 对 话 框 ,个 性 化 设置 Wireshark 的 各 
项 参数 ,设置 后 的 参数 将 会 在 每 次 打开 软件 时 发 
挥 作用 


Shift 十 Ctrl 十 P 


Preferences... 


View 一 一 控制 捕捉 数据 的 显示 方式 ,包括 颜色 .字体 缩放 ,将 包 显示 在 分 离 的 窗口 
中 ,展开 或 收缩 详情 面板 的 树 状 节点 ,如 图 1-10 所 示 。 


41249 4 v packet List 
41250 
v Packet Detak 
v Packet Bytes 
me Display Format , 
Name Resolytion ^ 


41259 4 Q Zoom In Quies 8 
’ 1. zoom Out Qui 
Q Normal Sze Cue 1 
E Resze Al Columns Shft«CtrlóR. 
® Interr| Displayed Columns , 
Expand Subtrees Shft«Rght 
Colapse Subtrees ShftsLeft 
Expand Al CtrisRight 
Colapse Al Cbteft 
Colorize Conversation , 
Reset Coloring 1-10 Qri«Space 
A Coloring Rules... 
Show Packet in New Window 
i Reload ChhR 


图 1-10 View 菜单 


项 目 1 认识 网 络 安全 
View 菜单 项 介绍 见 表 1-4。 
表 1-4 View 菜单 项 
X Rom 快捷 键 d 3k 

Main Toolbar 显示 或 隐藏 Main Toolbar( 主 工具 栏 ) 
Filter Toolbar 显示 或 隐藏 Filter Toolbar( 过 滤 工 具 栏 ) 
Status Bar 显示 或 隐藏 状态 栏 
Packet List 显示 或 隐藏 Packet List Pane( 包 列表 面板 ) 
Packet Details 显示 或 隐藏 Packet Details Pane( 包 详情 面板 ) 
Packet Bytes 显示 或 隐藏 Packet Bytes Pane( 包 字 节 面板 ) 
Time Display Fromat- Date and Time of 告诉 Wireshark 将 时 间 戳 设置 为 绝对 日 期 和 时 
Day: 1970-01-01 01:02:03. 123456 间 格 式 (年 月 日 ,时 分 秒 ) 
Time Display Format > Time of Day: 将 时 间 设 置 为 绝对 时 间 和 日 期 格式 (时 分 秒 
01:02:03. 123456 格式 ) 
Time Display Format > Seconds Since : " 
tn 123. 123456 将 时 间 堆 设置 为 秘 格式 ,从 捕捉 开始 计时 
Time Display Format > Seconds Since 将 时 间 戳 设置 为 秒 格式 ,从 上 次 捕捉 的 包 开 始 
Previous Captured Packet: 1.123456 计时 
Time Display Format > Seconds Since 将 时 间 戳 设置 为 秒 格式 ,从 上 次 显示 的 包 开 始 
Previous Displayed Packet: 1. 123456 计时 
Time Display Format > 一 一 间隔 线 
Time Display Format > Automatic 根据 指定 的 精度 选择 数据 包 中 时 间 改 的 显示 
(File Format Precision) 方式 
Time Display Format > Seconds: 0 设置 精度 为 1s 
Time Display Format > ...Seconds: 0... 设置 精度 为 1s、0. 1s、0.01s, 百 万 分 之 一 秒 等 
Name Resolution > Resolve Name 仅 对 当前 选 定 包 进行 解析 
e Resolution > Enable for MAC 确定 是 否 解析 Mac 地 址 
sek Resolution > Enable for Network 确定 是 否 解析 网 络 层 地 址 (ip 地 址 ) 
Resolution > Enable for Transport 确定 是 否 解析 传输 层 地 址 
Colorize Packet List 确定 是 否 以 彩色 显示 包 

控制 在 实时 捕捉 时 是 否 自动 滚屏 ,如 果 选 择 了 
Auto Scrooll in Live Capture PURIERSEEGEATS WIEAEELE EHI. 用 

户 始终 能 看 到 最 后 的 数据 ;反之 ,无 法 看 到 满 屏 

以 后 的 数据 ,除非 手动 滚屏 
Zoom In Ctrl 十 十 | 增 大 字体 
Zoom Onut Ctrl 十 一 | 缩小 字体 
Normal Size Ctrl 十 = | 恢复 正常 大 小 

恢复 所 有 列 宽 。 注 意 , 除 非 数 据 包 非 常 大 ,一 般 

Resize All Columnus 会 立刻 更 改 
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ET 
X 单项 快捷 键 描 述 

Expend Subtrees 展开 子 分 支 
Expand All 展开 所 有 分 支 。 该 选项 会 展开 选择 包 的 所 有 分 支 
Collapse All 收缩 所 有 包 的 所 有 分 支 

打开 一 个 对 话 框 ,可 以 通过 过 滤 表 达 式 来 用 不 
Coloring Rulues... 同 的 颜色 显示 包 。 这 项 功能 对 定位 特定 类 型 的 

包 非 常 有 用 
Show Packet in New Window he S UM EN ELEN MRM 
Reload Ctrl 十 R | 重新 加 载 当前 捕捉 文件 


Go 一 一 包含 到 指定 包 的 功能 ,如 图 1-11 所 示 。 


Ele Edt View Go Capture Anayze Statistics Telephony Took 
eo - m+ Back Akt+Left 
* Forward At+Right 
Pee | & Go to Packet... QulG 
No. Go to Corresponding Packet 
p 
41249 4992.8 4 Previous Packet Cutup 
41250 4992.9 g Packet OrisDown 
41251 4992. 1 M 
41252 4993.1 等 Frst Packet Ctri&Home 
县 Last Packet. QtrleEnd 
d Previous Packet In Conversation cb 
41256 4993.3 ? Next Packet In Conversation. o Que 
41257 4993.33947 192.168.0.122 192.168.0.114 
41258 4993. 34956 61.135.186.152 192.168.0.114 
41259 4993. 34956 192.168.0.114 61.135.186.152 
41260 4993. 91607 192.168.0.114 192.168.0.255 
|& Frame 1: 74 bytes on wire (592 bits), 74 bytes capl 
| Ethernet II, Src: 28:d2:44:6f:ad:5f (28:d2:44:6f:a 
|& Internet Protocol Version 4, Src: 192.168.0.114 (1 
|$ Internet Control Message Protocol 


图 1-11 Go 菜单 
Go 菜单 项 介绍 见 表 1-5。 
表 1-5 GO 菜单 项 
X on 快捷 键 描 述 
Back Alt 十 Left 跳 到 最 近 浏览 的 包 , 类 似 于 浏览 器 中 的 页 面 历史 记录 
Forward Alt 十 Right | 跳 到 下 一 个 最 近 浏览 的 包 , 跟 浏览 器 类 似 
Go to Packet Ctrl 十 G 打开 一 个 对 话 框 ,输入 指定 的 包 序号 ,然后 跳 转 到 对 应 的 包 
Go to Corresponding Packet 跳 转 到 当前 包 的 应 答 包 。 如 果 不 存在 ,该 选项 为 灰色 
Panuti Ctri+Up Pir e 前 一 个 包 , 即 使 包 列 表面 板 不 是 当前 
Next Packet Ctrl 十 Down | 移动 到 包 列表 中 的 后 一 个 包 
First Packet Ctrl 十 ， 移动 到 列表 中 的 第 一 个 包 
Last Packet Ctrl 十 . 移动 到 列表 中 的 最 后 一 个 包 
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认识 网 络 安全 


Capture 一 一 捕获 网 络 数据 ,如 图 1-12 所 示 。 


| Be Edt View Go Capture Anaie Statetcs Telephony | 


€ &€ x W» |? nefas. Cui eg Sg 
© Options... Qul 
med — |a sor cuhE 


|No. W stop CbhE 
"icwo «usc. OU 
41249 4992.8647; Á Restart Cui 


图 1-12 Capture 菜单 


Capture 菜单 项 介绍 见 表 1-6. 
表 1-6 Capture 菜单 项 


X 单项 快捷 键 说 8 
Interfaces... Ctrl 十 I | 在 弹出 对 话 框 选择 您 要 进行 捕捉 的 网 络 接口 
Options... Ctrl 十 K | 打开 设置 捕捉 选 项 的 对 话 框 并 可 以 在 此 开始 捕捉 
Start Ctrl 十 E | 立即 开始 捕捉, 设置 都 是 参照 最 后 一 次 设置 
Stop Ctrl+E | 停止 正在 进行 的 捕捉 


Restart Ctrl 十 R 为 有 必要 时 


正在 进行 捕捉 时 ,停止 捕捉 ,并 按 同 样 的 设置 重新 开始 捕捉 , 仅 在 您 认 


Capture Filters... 


使 用 


打开 对 话 框 ,编辑 捕捉 过 滤 设 置 ,可 以 命名 过 滤器 ,保存 为 其 他 捕捉 时 


Analyze 一 一 对 已 捕获 的 网 络 数据 进行 分 析 , 包 含 处 理 显 示 过 滤 , 人 允许 或 禁止 分 析 协 


议 ,配置 用 户 指定 解码 和 追踪 TCP 流 等 功能 ,如 图 1-13 所 示 。 


6 Prepare a Fiter 
SEEN sauna. 
41252 4993.16620 192.16 3 Decode As... 


"Gl. User Specified Decodes... 


Follow TCP Stream 
41256 4993.33934.192.16 Folow UDP Stream 
41257 4993. 33947 192.16 Follow SSL Stream 
41258 4993. 34956 61.135 ə Expert Info 
41259 4993. 34956 192.16 C 
41260 4993. 91607 192.166 mes 


图 1-13 Analyze 菜单 


Analyze 菜单 项 介绍 见 表 1-7。 


Statistics 一 一 对 已 捕获 的 网 络 数据 进行 统计 分 析 , 包 括 的 菜单 项 的 功能 有 用 户 显 示 


多 个 统计 窗口 .关于 捕捉 包 的 摘要 ,协议 层次 统计 等 ,如 图 1-14 所 示 。 
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表 1-7 Analyze 菜单 项 
X 单项 快捷 键 说 明 
Display Filters... 显示 过 滤器 
Apply as Filter 将 其 应 用 为 过 滤器 
Prepare a Filter 设计 一 个 过 滤器 
Enabled Protocols... Shift 十 Ctrl 十 E | 可 以 分 析 的 协议 列表 
Decode As... 将 网 络 数据 按 一 定 的 协议 规则 解码 
User Specified Decodes... 用 户 自 定 义 的 解码 规则 
ee 跟踪 TCP 传输 控制 协议 的 通信 数据 段 ,将 分 散 传输 的 
数据 组 装 还 原 
Follow SSL stream 跟踪 SSL 安全 套 接 层 协议 的 通信 数据 流 
Expert Info 专家 分 析 信 息 


6-0 u-N d£ D umay 


Filter: 


No. 


Comments Summary 
| | Show address resolution 
| Protocol Hierarchy. 


Time Source 


SZO SIEV OIOI ENTIT M Conversatons 


41249 4992. 86473 192. 168. 0.114 
41250 4992. 96509 fe80::5957:1a 
41251 4992. 96530 192. 168. 0. 114 
41252 4993. 16620 192.16! 


41256 4993. 339: 


目 Endponts 
Packet Lengths... 
114 La IO Graph 


Conversation List 
Endpoint List 


16i 11 Service Response Time 


41260 4993 


| Frame 41259: 60 bytes on wire 
| Ethernet II, Src: 28:d2:44:6f 
|& Internet Protocol Version zs LA Flow Graph... 


,& Transmission Control Protoco 
| 


HART-IP 
HTTP 
ONC-RPC Programs 
Sametime 
TOP StreamGraph 

| UDP Multicast Streams 

| WLAN Traffic 


TP Statistics 
BOOTP-DHCP... 


图 1-14 Statistics 菜单 


Statistics 菜单 介绍 见 表 1-8. 


表 1-8 Statistics 菜单 项 


菜单 项 说 明 
Summary 已 捕获 数据 文件 的 总 计 概 况 
Protocol Hierarchy 数据 中 的 协议 类 型 和 层次 结构 
Conversations 会 话 
Endpoints 定义 统计 分 析 的 结束 点 
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续 表 
X 单 3 说 — 8 
IO Graph 输入 /输出 数据 流量 图 
Conversation List 会 话 列表 
Endpoint List 统计 分 析 结 束 点 的 列表 
Service Response Time 从 客户 端 发 出 请 求 至 收 到 服务 器 响应 的 时 间 间 隔 
Flow Graph... 网 络 通信 流向 图 
HTTP 超 文本 传输 协议 的 数据 
TCP StreamGraph 传输 控制 协议 TCP 数据 流 波形 图 
Help 一 一 包括 帮助 相关 信息 ,如 图 1-15 所 示 。 
| Be Edt View Go Capture Anayre statistics Telephony Tools Intemas Heb 
eesmaonoxeaeeses2(Bm 
me 
No. 5 e » 
| — 94 15.3389840125. 39. 213.30 
| 95 15. 3403790 125. 39. 213. 30 
| 97 13.3415430 125.39. 213.30 
| — 99 19.3550210 192.168.0. 114 
| 10n 15.3583300 125.39.213.30  192.168.0.114 
115 Help 菜单 
Help 菜单 项 介绍 见 表 1-9, 
表 1-9 Help 菜单 项 
X 单项 说 明 X 单项 说 明 
Contents 使 用 手册 About Wireshark 关于 Wireshark 
ManualPages 使 用 手册 (HTML 网 页 ) 
(2) 抓 取 报 文 


为 了 安全 考虑 ,Wireshark 只 能 查看 封包 ,而 不 能 修改 封包 的 内 容 , 或 者 发 送 封包 。 

Wireshark 是 捕获 机 器 上 的 某 一 块 网 卡 的 网 络 包 , 当 机 器 上 有 多 块 网 卡 的 时 候 , 需 要 
选择 一 个 网 卡 ,一 般 选 择 有 数据 传输 的 那 块 网 卡 。 

单 击 Caputre- 二 Interfaces. . .命令 ,出 现下 面 的 对 话 框 ,选择 正确 的 网 卡 。 然 后 单 击 
Start 按钮 , 即 开始 抓 取 包 , 如 图 1-16 所 示 。 


Device Description 
EP) 本 地 连接 ”lntelR) PRO/1000 MT Network Connection fe80::5ca2:8b35:6afa:7782 — - 


Cem) 


图 1-16 Wireshark; Capture Interfaces 对 话 框 
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———— 
TA mA eRaan gann 
-一 
Protocol Length Info 


50 4074-50 FIN. ACK] Seq-1194 Ack- 


706 18 0197. 168.9 218. 60.106. 89 60 4073-80 [ACK] Seq-1202 ri TEL 
709 180.011432 192.168.0.1. 218. 60. 106. 89 60 4073-80 [ACK] Seq-1202 Ack=13496 


713 180.014187 192.168.0.114 218. 60.106. 89 60 4073-80 [ACK] Seq-1202 Ack-13786 
746 180.100243 192.168.0.114 119.255.240. 88 60 4075-80 [ACK] Segel Ack-l win=16 


60 4075-80 [ACK] Seq-1194 Ack-20246 
ing) request id=0x0001, = 
rac E 


Packets: 790 * Displayed: 312 (... | Profle: Defaut 


图 1-17 Wireshark 主 窗口 


WireShark 主要 分 为 以 下 几 部 分 。 

(D Display Filter( 显 示 过 滤器 ): 用 于 信息 的 过 滤 。 

使 用 过 滤 功 能 是 非常 重要 的 。 初 学 者 使 用 Wireshark 时 ,将 会 得 到 大 量 的 元 余 信息 ， 
在 几 千 甚至 几 万 条 记录 中 ,很 难 找到 自己 需要 的 部 分 。 过 滤器 会 帮助 我 们 在 大 量 的 数据 
中 迅速 找到 需要 的 信息 。 

过 滤器 有 两 种 。 一 种 是 显示 过 滤器 ,就 是 主 界面 上 那 一 个 ,用 来 在 捕获 的 记录 中 找到 
所 需要 的 记录 。 另 一 种 是 捕获 过 滤器 ,用 来 过 滤 捕 获 的 包 ,以免 捕 获 太 多 的 记录 。 

通过 Capture -> Capture Filters 命令 设置 过 滤 表达 式 的 规则 如 下 。 

协议 过 滤 : 比如 TCP, 只 显示 TCP 协议 。 

IP 过 滤 : 比如 ,ip. src= =192. 168. 0. 114 显示 的 源 地 址 为 192. 168. 0. 114. 


端口 过 滤 : tcp. port— — 80 表示 端口 为 80 的 包 。tcp. srcport = = 80 表示 只 显示 
TCP 协议 的 源 端口 为 80 的 包 。 

Http 模式 过 滤 ; http. request. method 二 二 "GET" 表 示 只 显示 HTTP GET 方法 对 
应 的 包 。 


© Packet List Pane( 封 包 列 表 ) : 显示 捕获 到 的 封包 ,有 源 地 址 和 目标 地 址 、 端 口号 。 

封包 列表 的 面板 中 显示 编号 .时 间 戳 、. 源 地 址 .目标 地 址 协议. 长度 以 及 封包 信息 。 
不 同 的 协议 用 不 同 的 颜色 显示 。 比 如 默认 情况 下 ,绿色 是 TCP 报 文 ,深蓝 色 是 DNS. iX 
蓝 是 UDP ,粉红 是 ICMP ,黑色 标识 出 有 问题 的 TCP 报 文 一 一 比如 乱 序 报 文 等 。 

也 可 以 修改 这 些 显 示 颜 色 的 规则 ,可 用 View -二 Coloring Rules 命令 。 

@ Packet Details Pane( 封 包 详细 信息 ) : 显示 封包 中 的 字段 。 

这 个 面板 是 最 重要 的 ,用 来 查看 协议 中 的 每 一 个 字段 。 
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Frame 物理 层 的 数据 帧 概况 。 

Ethernet I| 数据 链 路 层 以 太 网 帧 头 部 信息 。 

Internet Protocol Version 4 互联 网 层 IP 包头 部 信息 。 

Transmission Control Protocol 传输 层 T 的 数据 段 头 部 信息 ,此 处 是 TCP。 

Hypertext Transfer Protocol 应 用 层 的 信息 ,此 处 是 HTTP 协议 。 

(D Dissector Pane( 十 六 进 制 数 据 ) : 以 十 六 进 制 方式 显示 相关 信息 。 

C Miscellanous( 地 址 栏 , 杂 项 ) : 显示 一 些 提 示 信 息 。 

Wireshark 捕获 到 的 TCP 包 中 的 每 个 字段 如 图 1-18 Bron 。 

Ele Edt View Go Capture Analyze Statstics Telephony Took Intemas Help 

eeamcissxenesociisaaam 

Fiter: | http [z] Erpression- Clear App 
inati Protocol Length Info 


HELEDIDSDRUPECIENRET] 


18 7.58470700 117. 79.157.201 HTTP 
56 7.86256600 192.168.1.154 117.79.157.201 HTTP 433 GET /: 
57 7.86341000 192.168.1.154 117.79.157.201 HTTP 435 GET /: 
58 7.86387100 192.168.1.154 117.79.157.201 HTTP 460 GET /: 
59 7.86424300 192.168.1.154 117.79.93.221 HTTP 392 GET /| 
60 7.86494900 192.168.1.154 117.79.93.221 HTTP 395 GET /| 
B5 7.92080200 117.79.157.201 192.168.1.154 HTTP 629 HTTP/: 
109 7.92816200 192.168.1.154 111.1.36.116 HITP 411 GET /i 
111 7.93080800 117.79.157.201 192.168.1.154 HTTP 1285 HTTP/: 
117 7.93223100 192.168.1.154 117.79.93.221 HTTP 376 GET / 
118 7.93261400 192.168.1.154 117.79.157.201 HTTP 448 GET /!: 
119 7.93296500 192. 168.1.154 117.79.157.225 HTTP IRI GFT /i 


= Frame 13: 488 bytes on wire (3904 bits), 488 E captured (3904 bits) 
® Ethernet II, Src: 00:0c:29:1f:a1:3c :29:1f:a1:3C), DSt: c0:61:18:7 
® Internet Protocol version 4, ~ L 一 一 ”ED 


日 Transmission Control protoco 80 (80; 
Source Port: 49261 61 
Destination Port 80 
[stream index: 0] 
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[TCP Segment Len: 43e P. 
Sequence number (rea. 
[Next sequence ampar Ess 
Acknowledgment er: 


Header Length: 20 bytés 
田 ... 0000 0001 1000 
window size value: #66 
[calculated window size: 
[window size scaling 
& Checksum: 0xd727 [va dation disabled] 


图 1-18 TCP 包 中 的 每 个 字段 


任务 1-2 TCP 协议 的 三 次 握手 抓 包 分 析 


TCP(Transmission Control Protocol, 传 输 控制 协议 ) 是 一 种 面向 连接 (连接 导向 ) 
的 ,可 靠 的 ,基于 IP 的 传输 层 协议 ,使 用 三 次 握手 协议 可 建立 连接 。 三 次 握手 过 程 如 图 1-19 
所 示 。 

打开 Wireshark, 单 击 Start a new live capture 按钮 开始 抓 包 , 之 后 打开 浏览 器 并 输 
入 http://blog. csdn. net/oacuipeng. 

Æ Wireshark 中 选中 GET/oacuipeng HTTP/1. 1 记录, 右 击 并 选择 Follow TCP Stream 
命令 ,这 样 做 的 目的 是 得 到 与 浏览 器 打开 网 站 相关 的 数据 包 , 结 果 如 图 1-20 所 示 。 
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TCP 三 次 握手 
客户 服务 端 
客户 端 发 送 SYN 报 SYN=1 Seq-X 
文 ， 并 置 发 送 序号 
Ax 服务 端 发 送 SYN+ACK 报 
SYN-1 ACK-X^1 Seq-Y LUE rr FE 

客户 端 发 送 ACK 报 一 
文 ， 并 设置 发 送 序 
Pe eiii ACK=¥+1 Seq=Z 


1-19 TCP 三 次 握手 


No. Time Source Destination 
10 7.44914500192.168.1.154 117.79.157.201 
11 7.48306000 117.79.157.201 192.168.1.154 


12 7.48312000 192.168.1.154 117.79.157.201 


66 49261-80 [SYN] Seq-0 win=8192 
66 80-49261 [SYN, ACK] Seq-0 Ack4 


14 7. 51671400 117. 79.157.201 
15 7.58469600 117.79.157.201 


5 rm 
1474 [rc REY of a reassembled 


16 7.58470000 117. 192.168.1. TCP 1474 [TCP segment of a reassembled 
17 7. 58470400117. 192.168.1. Tp 1474 [TCP segment of a reassembled 
18 7. 58470700 117. 7. 192.168. HTTP 233 HTTP/1.1 200 OK (text/html) 

19 7.58477300 192.168.1.154 117.79.957. TCP 54 49261-80 [ACK] Seq-435 Ack=44: 
405 67. 5801460 117. 79.157.201 192.19f.1.154 TCP 60 80-49261 [FIN, ACK] Seq=4440 1 
406 67. 5802430 192.168.1.154 .157.201 Tp 54 49261-80 [ACK] Seq=435 Ack=44: 


Source Port: 49261 (49261) 
Destination Port: 80 (80) 
[Stream index: 0] 

[TCP Segment Len: 434] 
Sequence number: 1 (relative sequence number) 

[Next sequence number: 435 (relative sequence number)] 


Acknowledgment number: 1 ^ (relative ack number) 
Header Length: 20 bytes 
G.... 0000 0001 1000 = Flags: 0x018 (PSH, ACK) 


window size value: 16685 
[Calculated window size: 66740] 


图 1-20 Wireshark 截获 到 了 三 次 握手 的 3 个 数据 包 


第 一 次 握手 数据 包 : 客户 端 发 送 一 个 TCP ,标志 位 为 SYN ,序列 号 为 0, 代表 客 户 端 
请 求 建立 连接 ,如 图 1-21 所 示 。 

第 二 次 握手 的 数据 包 : 服务 器 发 回 确认 包 , 标 志 位 为 SYN、ACK。 将 确认 序号 
(Acknowledgement Number) 设 置 为 客户 的 ISN Jit 1. BD 0--1— 1. nl] 1-22 所 示 。 

第 三 次 握手 的 数据 包 : 客户 端 再 次 发 送 确 认 包 (ACK),SYN 标志 位 为 0,ACK 标志 
位 为 1。 并 且 把 服务 器 发 来 ACK 的 序号 字段 加 1, 放 在 确定 字段 中 发 送 给 对 方 , 并 且 在 
数据 段 中 将 ISN 加 1, 如 图 1-23 所 示 。 
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Ele Edt vew Go Capture Amaze Statstics Telephony Took Intemas Heb 
eeamcianxeaeeorz(Es:aaam gms! 


Filter? tcp.stream eq 0 [7] Expression- Clear Apply Save 
o Time Source. Destination. Protocol Le 
10 7.4 '00 19. 1.154 117. 201 TCP € Im EI 
11 7.48306000 117.79.157.201 192.168.1.154 P bb 80-4920 YN, A eq: 
12 7.48312000 192.168.1.154 117.79.157.201 TCP 54 49261-80 [ACK] seq=1 Ack| 
13 7.48363000 192.168.1.154 117.79.157.201 HTTP 488 GET /oacuipeng HTTP/1.1 
14 7.51671400 117.79.157.201 192.168.1.154 TCP 60 80-49261 [Ack] Seq-1 Ack 
15 7.58469600 117.79.157.201 192.168.1.154 TCP 1474 [TCP segment of a reasse| 
16 7.58470000 117.79.157.201 192.168.1.154 TCP 1474 [TCP segment of a reasse| 
17 7.58470400 117.79.157.201 192.168.1.154 TCP 1474 [TCP segment of a reasse 
18 7.58470700 117.79.157.201 192.168.1.154 HTTP. 233 HTTP/1.1 200 OK (text/I 
19 7.58477300 192.168.1.154 117.79.157.201 TCP 54 49261-80 [ACK] Seq-435 
405 67.5801460 117.79.157.201 192.168.1.154 TCP 60 80-49261 [FIN, ACK] Seq. 
406 67.5802430 192.168.1.154 117.79.157.201 TCP 54 49261-80 [ACK] Seq=435 


Frame 10: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) on interface 0 
& Ethernet II, Src: 00:0c:29:1f:al:3c (00:0c:29:1f:a1:3c), Dst: c0:61:18:7c:eb:3c (c0:61:18:7| 
& Internet Protocol version 4, Src: 192.168.1.154 (192.168.1.154), Dst: 117.79.157.201 (117.7| 


Source Port: 49261 (49261) 
Destination Port: 80 (80) 
[Stream index: 0] 


[TCP Segment Len: 0 
Sequence runor TO (relative sequence number) 
Acknowledgment number: 0 
Header Length: 32 bytes 


window size value: 8192 


1-21 TCP 第 一 次 握手 


|He Est yew Go Capture Ware stateis Telephony Took temas Heb 一 
eeamcipaxeaeeoza(Esaaanuwgsmx mu 


Filter: tcp.stream eq 0 [z] &ressien-. Clear Apply Save 


o. Time Source Destination. 

10 7.44914500 192.168.1.154 117.79.157.201 
)6000 117.79. 157. 201 192 1.154 

12 7.48312000 192.168. 1.154 117.79.157.201 j ETEO E 

13 7.48363000 192.168.1.154 117.79.157.201 HTTP 488 GET /oacuipeng HTTP/1.1 


14 7.51671400117.79.157.201 192.168.1.154 Tee 60 80-49261 [ACK] Seq=1 Ack=435 wi 
15 7. 58469600 117.79. 157.201 192.168.1.154 Tp 1474 [TcP segment of a reassembled Pi 
16 7. 58470000 117.79. 157. 201 192.168. 1.154 Tp 1474 [TCP segment of a reassembled Pi 
37 7. 58470400 117. 79.157.201 192.168.1.154 Tce ~ 1474 [TCP segment of a reassembled Pi 
18 7. 58470700 117. 79.157.201 192.168.1.154 HTTP 233 MTTP/1.1 200 OK (text/html) 

19 7. 58477300 192.168.1.154 117.79.157.20 TCP 54 49261-80 [ACK] Seq=435 Ack-4440 

405 67. 5801460 117. 79.157.201 192.168.1.154 TcP 60 8049261 [FIN, ACK] Seq-4440 Ack 

406 67. 5802430 192.168.1.154 117.79.157.20 TCP 54 49261-80 [ACK] Seq-435 Ack-4441 


ls Frame 11: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) on interface 0 
| Ethernet II, Src: c0:61:18:7c:eb:3c (c0:61:18:7c:eb:3c), Dst: 00:0c:29:1f:a1:3c (00:0c:29:1f:a1:3c)| 
|? Internet Protocol version 4, Src: 117.79.157.201 (117.79.157.201), Dst: 192.168.1.154 (192.168.1.1: 


Source Port: 80 (80) 
Destination Port: 49261 (49261) 
[Stream index: 0] 


[TCP Segment Len: o; 
Sequence number: Bre sequence number) 
er: 


Acknowledgment (relative ack number) 
Header Length: 32 byt 


keza 0000: 00017 0010 = Flagst ovora o. o | 
图 1-22 TCP 第 二 次 握手 
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Fle Edt View Go Capture Analyze Statistics Telephony Tools Jntemak Heb 
eesam-ceBnxeaeeogafj)laaamuawzme-xu 


Filter: |tep.stream eq 0 [z] Erpression— Clear Apply Save 

No. — Time Source. Destination. Protocol Info 
10 7.44914500 192.168.1.154 117.79.157.20 TCP 66 43261-10: [Sm]: sequo WIM-EIO2 teneo 
11 7.48306000117.79.157.201 — 192.168.1.154 Tce 66 8049261 [SYN Seg-0 Ack=1 win-: 

2 7.4831 HENSE] 117.799.157.201 TCP 4 4 " d i n=66740 

13 7.48363000 192.168. 1.154 117.79.157.201 TEA 
147.51671400117.79.157.201 = 192.168.1.154 Tce 60 80-49261 [ACK] Seq=1 Acke435 Win=158; 
15 7.58469600117.79.157.201 ^ 192.168.1.154 TCP 1474 [TCP segment of a reassembled PDU] 
16 7. 58470000 117. 79.157. 201 192.168.1.154 Tee 1474 [TcP segment of a reassembled Pou] 
17 7. 58470400 117. 79.157.201 192.168.1.154 TCP 1474 [TCP segment of a reassembled PDU] 
18 7.58470700 117.79.157.201 192.168.1.154 HTTP 233 HTTP/1.1 200 OK (text/html) 
19 7. 58477300 192.168.1.154 117.79.157.200 TCP 54 49261-80 [Ack] Seq=435 Ack-4440 win-d 
405 67.5801460117.79.157.201 = 192.168.1.154 Tce 60 80-49261 [FIN, ACK] Seq-4440 Ack=435 
406 67. 5802430192. 168. 1.154 117.79.157.201 Tp 54 49261-80 [ACK] seq-435 Ack=4441 win=d 


Œ Frame 12: 54 bytes on wire 
Œ Ethernet II, Src: 00:0c:29: 


2 bits), 54 bytes captured (432 bits) on interface 
3c (00:0c:29:1f:a1:3c), DSt: OO «co 161:18:7c:eb:3c) 


由 Internet Protocol Version 4, Sre: 192.168.1.154 (192.168.1.154), Dst: 117.79.157.201 Cari mas. 20) 
G Transmission Control Protocol, Src Port: 49261 (49261), Dst Port: BO (80), Seq: 1, Ack: :0 
Source Port: 49261 (49261) 
Destination Port: 80 (80) 
[Stream index: 0] > 
[rcp segment Len: TCP 第 三 次 握手 
Sequence number :| E relative sequence number) 
Acknowledgment ri (relative ack number) 
Meader Length: 20 byt 
M... 0000.0001. a000- p hiai 


A 1-23 TCP 第 三 次 握手 
通过 TCP 三 次 握手 , 即 建立 了 连接 。 


任务 1-3 UDP 协议 的 抓 包 分 析 


找 一 个 使 用 UDP 的 例子 ,使 用 Wireshark 进行 抓 包 分 析 。 

UDP 协议 的 全 称 是 用 户 数据 报 协议 ,在 网 络 中 它 与 TCP 协议 一 样 用 于 处 理 数据 包 ， 
是 一 种 无 连接 的 协议 ,在 OSI 模型 中 在 第 4 层 , 即 传输 层 , 处 于 IP 层 的 上 一 层 。UDP 又 
不 提供 数据 包 分 组 组 装 和 不 能 对 数据 包 进行 排序 的 缺点 ,也 就 是 说 , 当 报 文 发 送 之 后 ,是 
无 法 得 知 其 是 否 安全 完整 到 达 目 的 地 。UDP 用 来 支持 那些 需要 在 计算 机 之 间 传 输 数据 
的 网 络 应 用 。 包 括 网 络 视频 会 议 系 统 在 内 的 众多 的 客户 /服务 器 模式 的 网 络 应 用 都 需要 
使 用 UDP 协议 。UDP 协议 从 问世 至 今 已 经 被 使 用 了 很 多 年 ,虽然 其 最 初 的 光彩 已 经 被 
一 些 类 似 协 议 所 掩盖 ,但 是 即使 是 在 今天 UDP 仍然 不 失 为 一 项 非常 实用 和 可 行 的 网 络 
传输 层 协议 。 

TCP 与 UDP 的 区 别 如 下 。 

(1) TCP 协议 面向 连接 ,UDP 协议 面向 非 连接 。 

(2) TCP 协议 传输 速度 慢 ,UDP 协议 传输 速度 快 。 

(3) TCP 有 丢 包 重 传 机 制 ,UDP 没有 。 

(4) TCP 协议 保证 数据 的 正确 性 ,UDP 协议 可 能 丢 包 。 

UDP 头 部 格式 见 表 1-10。 


表 1-10 UDP 头 部 格式 


16-bit source port 16-bit destination port 
16-bit UDP length 16-bit UDP checksum 
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下 面 就 以 具体 的 抓 包 实例 来 分 析 UDP 协议 。 
为 QQ 视频 所 使 用 的 是 UDP 协议 ,所 以 


登录 QQ ,选择 一 个 网 友 ,并 和 对 方 视 频 ( 
抓 取 的 包 大 部 分 是 采用 UDP 协议 的 包 ) 。 


1-24 所 示 。 


打开 Wireshark 软件 , 抓 包 之 后 ,得 到 的 数据 如 


1095 17. 
1098 17. 


6373270 120.196. 212.55 
6924210 192.168.1.154 


[Leneth: 71] 


Data: 02352303823faf0112c86204000000010101000066fe0000. 


192.168.1. 
120.196. 


537 Source port: 
521 Source port 
113 source port: 
521 source port: 
113 source port 
537 source port 
113 Source port 


537 source port 
113 source port: 


:1f:al:3c), Dot: c0:61:18:7c:eb:3c (cO:61:18: 
Internet Protocol Version 4, Src: 192.168.1.154 (192.168.1.154), Dst: 120.196.212.55 (120.196.212.55) 


8000 Destination port: 62177 
62177 Destination port: 8000 
8000 Destination port: 62177 
62177 Destination por: 
8000 Destination port: 62177 
62177 


Destination port: 62177 
77 Destination port: 8000 


8000 


Destination port: 8000 


8000 Destination port: 62177 
62177 Destination port: 8000 


'c:eb:3c) 


1106 17.771900120.196.212.55 192.168.1. up 
1112 17.8097850 192.168.1.154 120.196.212.55 UDP 
1120 17.8825150 120.196. 212. 55 192.168.1.154 UDP 
112217.9149240192.168.1.154 — — 120.196.212.55 UDP 
1134 18. 0011870 120.196. 212.55 192.168.1.154 UDP 
1138 18.0389310 192.108. 1.194 120.199.212.355 UDP 
1148 18. 1164640 120.196. 212. 55 192.168.1.154 UDP 
1150 18.1409370 192.168.1.154 120.196.212.55 UDP 
a Frame 1086: 113 bytes on wire (S04 bits), 113 bytes captured (904 bits) on interface 0 
|Ð Ethernet II, Src: 00:0c:29:1f:a1:3c (00:0c: 
E 
a 
Destination Port: 8000 (8000) 
Length: 79 
z 


1-24 抓 取 UDP & 


从 图 中 可 以 看 到 ,视频 聊天 过 程 中 用 的 就 是 UDP 协议 。 
之 后 右 击 ,选择 From UDP Stream 命令 , 即 追 踪 该 UDP 流 ,跟踪 整个 会 话 ,如 图 1-25 


所 示 。 


He Edt vew Go Capture Analze Statstcs Telephony Too& jntemak Heb 
eos4mciaBoxeQiaoeors2(EsS Qaamasm-xiu 


[z] Espression. Clear Apply Save 


lNo. — Time Source 


1085 17. 5709510 120.196.212. 55 


1095 17.6573270 120.196.212.55 
1098 17.6924210 192. 168.1.154 
1106 17.7719010 120. 196.212. 55 


1150 18.1409370 192. 168.1. 154 


Destination 


192.168.1.154 


192.168.1.154 
96.212. 55 


1112 17. 8097850 192. 168. 1.154 120.196.212. 55 
1120 17.8825150 120.196. 212. 55 192.168.1.154 
1122 17.9149240 192.168.1.154 120.196. 212.55 
1134 18.0011870 120.196. 212. 55 192.168.1.154 
1138 18.0389310 192.168.1.154 120.196.212.55 
1148 18.1164640 120.196.212.55 192.168.1.154 


120.196.212.55 


Frame 1086: 113 bytes on wire (904 bits), 113 bytes 
G Ethernet II, Src: 00:0c:29:1f:al:3c (00:0c:29:1f:al: 
Œ Internet Protocol version 4, Src: 192.168.1.154 (192 
S User Datagram Protocol, src Port: 62177 (62177), Dst 

Source Port: 62177 (62177) 
Destination Port: 8000 (8000) 


OxOf9f [validation disabled] 
[stream index: 1] 

5 Data (71 bytes) 
Data: 02352303823ff011ac86204000000010101000066f. 
[Length: 71] 


Protocol 


orq 


Mark Packet (toggle) 
Ignore Packet (toggle) 


Info 


© Set Time Reference (toggle) 


© Tm Sht... 
Edi Packet 
ED) Packet Comment... 


Manualy Resolve Address. 


Apply as Fiter 
Prepare a Fiter 
Conversation Fiter 
Colorize Conversation 


Jes sw ce pues 


121 OICQ Protocol 


2177 Destination 


55 20. 196.212. 


1-25 追踪 UDP 流 
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从 UDP 流 中 可 以 证 明 , 如 图 1-26 所 示 ,QQ 聊天 内 容 是 加 密 传送 的 。 


ion (337421 bytes) B| 
(End) (Save As ][ Pim oascr è © eBo © HexDump  Dcaras — 9 Raw 


1-26 UDP ği 


15 拓展 提升 ”网络 安 全 的 现状 和 发 展 趋势 


1. 当前 我 国 网 络 安全 技术 发 展现 状 分 析 


COD 不 具有 我 国 自主 研发 的 软件 核心 技术 

大 家 都 知道 ,网 络 安全 核心 主要 有 三 部 分 , 即 CPU 操作 系统 、 数 据 库 。 当 前 ,尽管 大 
部 分 企业 都 已 经 耗费 大 量 的 资金 建设 与 维护 网 络 安全 ,然而 , 因 大 多 数 网 络 设备 与 软件 都 
是 进口 的 ,而 且 不 是 我 国 所 自主 研发 的 技术 ,所 以 导致 国内 网 络 安全 技术 跟 不 上 时 代 发 展 
步伐 ,如 此 一 来 , 极 易 被 窃听 或 作为 被 打击 对 象 。 此 外 ,国外 几 大 操作 系统 、 杀 毒 系统 的 开 
发 商 几乎 垄断 中 国 软件 市 场 。 如 此 看 来 ,我 国 必须 进一步 加 快 对 软件 核心 技术 的 研发 , 结 
合 我 国 发 展 情况 ,开发 出 确保 我 国 网 络 安全 运行 的 软件 技术 。 

(2) 安全 技术 的 防护 能 力 偏 低 

如 今 ,国内 各 个 企 事业 单位 都 已 经 建立 专属 网 站 ,同时 电子 商务 正 处 在 快速 发 展 中 。 
然而 ,所 应 用 的 系统 多 数 都 处 在 未 设防 的 状态 中 , 极 有 可 能 会 埋 下 各 种 安全 隐患 。 此 外 ， 
在 网 络 假设 过 程 中 ,大 部 分 企业 未 及 时 采用 各 种 技术 防范 对 策 来 确保 网 络 安全 性 。 

(3) 缺少 高 素质 的 技术 人 才 

首先 由 于 互联 网 通信 成 本 偏 低 .所 以 网 络 设备 和 服务 器 的 种 类 越 来 越 多 ,功能 更 加 完 
善 , 性 能 更 强 。 然 而 ,无 论 在 人 才 数 量 还 是 在 专业 水 平 上 ,都 不 能 更 好 地 适应 当前 网 络 安 
全 的 需求 。 其 次 ,网 络 管理 人 员 缺 少 对 安全 管理 所 需 的 理由 导向 意识 ,例如 , 当 网 络 系统 
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处 于 崩溃 状态 时 ,如 何 快速 提出 更 有 效 的 解决 对 策 ,往往 此 时 他 们 就 束手无策 了 ,此 问题 
并 不 是 只 针对 网 络 编程 ,而 是 需要 积累 足够 的 实践 经 验 。 


2. 网 络 安全 发 展 的 趋势 


结合 当前 国内 网 络 安全 发 展 的 主要 形势 分 析 , 我 国 必 须 在 信息 产业 研发 上 作出 巨大 
努力 ,缩小 和 发 达 国 家 水 平 的 差距 ,同时 ,要 求 网 民 对 网 络 专业 知识 有 一 个 全 面 了 解 , 以 便 
提升 网 络 用 户 整体 素质 ,使 网 民 对 网 络 安全 管理 引起 足够 的 重视 。 

(1) 将 网 络 安全 产业 链 转变 成 生态 环境 

近年 来 , 随 着 我 国 计 算 机 技术 与 行业 的 发 展 ,产业 价值 链 也 发 生 了 巨大 改变 ,产业 价 
值 链 变 得 更 加 复杂 。 与 此 同时 ,生态 环境 变化 的 速度 远 远 超过 预期 环境 变化 的 速度 ,这 
样 , 在 今后 网 络 技术 发 展 过 程 中 ,各 个 参与 方 对 市 场 要 有 较 强 的 适应 力 。 

(2) 网 络 安全 技术 朝 着 智能 化 与 自动 化 方向 发 展 

目前 ,我 国 在 优化 网 络 安全 技术 方面 需要 长 期 过 程 ,始终 贯穿 在 网 络 发 展 中 ,而 且 网 
络 优化 手段 逐渐 由 人 工 化 朝 着 智能 化 方向 快速 发 展 。 此 外 ,又 可 以 建立 网 络 优化 知识 库 ， 
进而 针对 网 络 运行 中 的 一 些 质量 问题 ,为 网 络 管理 者 提供 更 多 切实 、 可 行 的 解决 对 策 。 因 
此 ,在 今后 的 几 年 内 ,国内 网 络 安全 技术 在 IMS 基础 上 研制 出 固定 的 NGN 技术 。 据 预 
测 ,此 项 技术 可 以 为 企 事业 的 发 展 提供 更 多 业务 支持 。 

(3) 朝 着 网 络 大 容量 化 发 展 

近 几 年 ,国内 互联 网 业务 量 逐 渐 增 长 ,特别 是 针对 IP 为 主 的 数据 业务 来 说 ,对 路 由 器 
和 交换 机 的 处 理 能 力 提 出 较 高 要 求 。 这 主要 是 由 于 为 了 更 好 地 满足 语音 、 图 像 等 业务 的 
需求 ,所 以 要 求 IP 网 络 必 须要 有 较 强 的 包 转 发 与 处 理 能 力 , 因 此 ,今后 网 络 势必 会 朝 着 大 
容量 方向 发 展 。 国 内 网 络 在 发 展 过 程 中 ,要 打破 以 下 几 个 问题 的 束缚 : 广泛 应 用 硬件 交 
换 、 分 组 转发 引擎 ,切实 提升 系统 的 整体 性 能 。 


16 7J 题 


一 、 填 空 题 


1. 网 络 安全 的 基本 要 素 有 

2. 信息 安全 的 发 展 历程 包括 : 通信 保密 阶段 、 计算 机 安全 阶段 、 

3. 网 络 安全 的 主要 威胁 有 : 非 授权 访问 、 冒 充 合法 用 户 、 破坏 数据 完整 性 、 TÉRRA 
正常 运行 \ 利 用 网 络 传播 病毒 线路 窃听 等 。 

4. 访问 控制 包括 三 个 要 素 为 和 

5. 网 络 安全 的 目标 主要 表现 在 
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攻击 。 
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二 、 选 择 题 
1. 计算 机 网 络 安全 是 指 ( Jo 
A. 网 络 中 设备 设置 环境 的 安全 B. 网 络 使 用 者 的 安全 
C. 网 络 中 信息 的 安全 D. 网 络 财产 的 安全 
2. 计算 机 病毒 是 计算 机 系统 中 一 类 隐藏 在 ( ) 上 蓄意 破坏 的 捣乱 程序 。 
A. 内 存 B. 软盘 C. 存储 介质 D. 网 络 
3. 在 以 下 网 络 威胁 中 ,不 属于 信息 泄露 的 是 ( A 
A. 数据 窃听 B. 流量 分 析 
C. 拒绝 服务 攻击 D. 偷窃 用 户 账号 
4. 在 网 络 安 全 中 ,在 未 经 许可 的 情况 下 ,对 信息 进行 删除 或 修改 ,这 是 对 ( ) 的 
A. 可 用 性 D. 保密 性 C. 完整 性 D. 真实 性 
5. 下 列 不 属于 网 络 技术 发 展 趋势 的 是 ( T 
A. 速度 越 来 越 高 


B， 从 资源 共享 网 到 面向 中 断 的 网 络 发 展 
C. 各 种 通信 控制 规程 逐渐 符合 国际 标准 
D. 从 单一 的 数据 通信 网 向 综合 业务 数字 通信 网 发 展 


三 、 简 答题 


1. 网 络 脆弱 的 原因 是 什么 ? 

2. 网 络 安全 的 定义 是 什么 ? 

3. 什么 是 系统 安全 ? 

4. 网 络 安全 威胁 的 定义 是 什么 ? 
5. 如 何 进行 病毒 防护 ? 
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谈 到 网 络 攻 击 与 防御 问题 ,就 没 法 不 谈 黑客 (Hacker)。 黑 客 是 指 对 计算 机 某 一 领域 
有 着 深入 的 理解 ,并 且 十 分 热衷 于 潜入 他 人 计算 机 窃取 非 公开 信息 的 人 。 每 一 个 对 互联 
网 知识 十 分 了 解 的 人 ,都 有 可 能 成 为 黑客 。 翻 开 1998 年 日 本 出 版 的 (新 黑客 字典 》, 可 以 
看 到 上 面 对 黑 客 的 定义 是 :“ 喜 欢 探索 软件 程序 奥秘 ,并 从 中 增长 其 个 人 才干 的 人 .” 显 
然 ,“ 黑 客 ” 一 语 原来 并 没有 丝毫 的 贬义 成 分 ,直到 后 来 ,少数 人 怀 有 不 良 的 企图 ,利用 非法 
获得 系统 访问 权 去 冯 人 运程 机 器 系统 来 破坏 重要 数据 ,或 为 了 自己 的 私利 而 具有 恶意 行 
为 的 人 慢 慢 下 污 了 “黑客 ”的 名 声 ,“ 黑 客 " 才 逐渐 演变 成 人 侵 者 \ 破 坏 者 的 代名词 。 目 前 ， 
“黑客 "已 成 为 一 个 特殊 的 社会 群体 ,在 欧美 等 国有 不 少 合法 的 黑客 组 织 , 黑 客 们 经 常 召 开 
黑客 技术 交流 会 。 另 外 ,黑客 组 织 在 互联 网 上 利用 自己 的 网 站 介绍 黑客 攻击 手段 , 锡 
费 提 供 各 种 黑客 工具 软件 ,出 版 网 上 黑客 杂志 ,这 使 得 普通 人 也 容易 下 载 并 学 会 使 用 
一 些 简单 的 黑客 手段 或 工具 对 网 络 进行 某 种 程序 的 攻击 ,从 而 进一步 恶化 了 网 络 安 全 
环境 。 

本 项 目 首先 阐述 目前 计算 机 网 络 中 存在 的 安全 问题 及 计算 机 网 络 安全 的 重要 性 ;其 
次 分 析 黑 客 网 络 攻击 常见 方法 及 攻击 的 一 般 过 程 ; 最 后 分 析 针 对 这 些 攻击 的 特点 应 采取 
的 防范 措施 。 


22 职业 能 力 目 标 和 要 求 


* 掌握 网 络 安全 检测 与 防范 。 

。 掌握 常见 网 络 攻击 的 具体 过 程 及 防范 的 方法 。 
。 掌握 DoS 与 DDoS 攻击 原理 及 其 防范 方法 。 
"掌握 ARP 攻击 原理 及 其 防范 方法 。 
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23 相关 知识 点 


2.3.1 黑客 概述 


黑客 最 早 始 于 20 世纪 50 年 代 , 最 早 的 计算 机 于 1946 年 在 宾夕法尼亚 大 学 出 现 , 而 
最 早 的 黑客 出 现 于 麻 省 理工 学 院 和 贝尔 实验 室 。 最 初 的 黑客 一 般 都 是 一 些 高 级 的 技术 人 
员 ,他 们 热衷 于 挑战 ,崇尚 自由 并 主张 信息 的 共享 。 

1994 年 以 来 ,因特网 在 全 球 的 迅猛 发 展 为 人 们 提供 了 方便 .自由 和 无 限 的 技术 资源 ， 
政治 军事、 经济、 科技 教育、 文 化 等 各 个 方面 都 越 来 越 网 络 化 ,并 且 逐 渐 成 为 人 们 生活 、 
娱乐 的 一 部 分 。 可 以 说 ,信息 时 代 已 经 到 来 ,信息 已 成 为 物质 和 能 量 以 外 维持 人 类 社会 的 
第 三 资源 , 它 是 未 来 生活 中 的 重要 介质 。 随 着 计算 机 的 普及 和 互联 网 技术 的 迅速 发 展 , 黑 
客 也 随 之 出 现 。 


2. 黑客 简介 


“黑客 ”一 词 由 英语 Hacker 音译 而 来 ,是 指 专门 研究 发现 计算 机 和 网 络 漏洞 的 计算 
机 爱好 者 ,他 们 伴随 着 计算 机 和 网 络 的 发 展 而 产生 并 成 长 。 黑 客 对 计算 机 有 着 狂热 的 兴 
趣 和 执着 的 追求 ,他 们 不 断 地 研究 计算 机 和 网 络 知识 ,发现 计 算 机 和 网 络 中 存在 的 漏洞 ， 
喜欢 挑战 高 难度 的 网 络 系统 并 从 中 找到 漏洞 ,然后 向 管理 员 提 出 解决 和 修补 漏洞 的 方法 。 

黑客 不 干涉 政治 ,不 受 政治 利用 ,他 们 的 出 现 推动 了 计算 机 和 网 络 的 发 展 与 完善 。 最 
初 黑 客 所 做 的 不 是 恶意 破坏 ,他 们 是 一 群 纵横 驰 怠 于 网 络 上 的 大 侠 , 追 求 共享 ,免费 ,提倡 
自由 \ 平 等。 黑客 的 存在 是 由 于 计算 机 技术 的 不 健全 ,从 某 种 意义 上 来 讲 , 计 算 机 的 安全 
需要 更 多 黑客 去 维护 。 

但 是 到 了 今天 ,黑客 一 词 已 被 用 于 泛 指 那些 专门 利用 计算 机 搞 破 坏 或 恶作剧 的 家 伙 ， 
对 这 些 人 的 正确 英文 叫 法 是 Cracker, 有 人 也 翻译 成 “ 骇 客 "或 是 “入 侵 者 ”, 也 正 是 由 于 入 
侵 者 的 出 现 焉 污 了 黑客 的 声誉 ,使 人 们 把 黑客 和 入 侵 者 混为一谈 ,黑客 被 人 们 认为 是 在 网 
上 到 处 搞 破 坏 的 人 。 


2.3.2 常见 的 网 络 攻击 


1. DoS( 拒 绝 服务 ) 攻 击 


Internet 最 初 的 设计 目标 是 开放 性 和 灵活 性 ,而 不 是 安全 性 。 目 前 Internet 网 上 各 
种 入侵 手段 和 攻击 方式 大 量 出 现 , 成 为 网 络 安全 的 主要 威胁 。 拒 绝 服务 (Denial of 
Service,DoS) 是 一 种 简单 但 很 有 效 的 进攻 方式 ,其 基本 原理 是 利用 合理 的 请 求 占 用 过 多 
的 服务 资源 ,致使 服务 超载 ,无 法 响应 其 他 的 请 求 , 从 而 使 合法 用 户 无 法 得 到 服务 。 
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DoS 的 攻击 方式 有 很 多 种 。 最 基本 的 DoS 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 
多 的 服务 资源 ,致使 服务 超载 ,无 法 响应 其 他 的 请 求 。 这 些 服务 资源 包括 网 络 带 宽 ,文件 
系统 空间 容量 ,开放 的 进程 或 者 向 内 的 连接 。 这 种 攻击 会 导致 资源 的 缺乏 ,无 论 计算 机 的 
处 理 速 度 多 么 快 ,内 存 容量 多 么 大 ,互联 网 的 速度 多 么 快 ,都 无 法 避免 这 种 攻击 带 来 的 后 
果 。 因 为 任何 事 都 有 一 个 极限 。 所 以 ,总 能 找到 一 个 方法 使 请 求 的 值 大 于 该 极限 值 , 因 此 
就 会 使 所 提供 的 服务 资源 缺乏 , 像 是 无 法 满足 需求 。 千 万 不 要 自 认为 自己 拥有 了 足够 快 
的 带宽 就 会 有 一 个 高 效率 的 网 站 ,拒绝 服务 攻击 会 使 所 有 的 资源 变 得 非常 奸 乏 。 典 型 拒 
绝 服务 攻击 有 以 下 几 种 。 

(1) Ping of Death 

根据 TCP/IP 的 规范 ,一 个 包 的 长 度 最 大 为 65536 字 节 。 尽 管 一 个 包 的 长 度 不 能 超 
过 65536 字 节 ,但 是 一 个 包 分 成 的 多 个 片段 的 码 加 却 能 做 到 。 当 一 个 主机 收 到 了 长 度 大 
于 65536 字 节 的 包 时 ,就 是 受到 了 Ping of Death 攻击 ,该 攻击 会 造成 主机 的 宕 机 。 

(2) SYN flood 

SYN flood 攻击 也 是 一 种 常用 的 拒绝 服务 攻击 。 它 的 工作 原理 是 ,正常 的 一 个 TCP 
连接 需要 连接 双方 进行 三 个 动作 , 即 “三 次 握手 ”, 其 过 程 如 下 : 请 求 连接 的 客户 机 首先 将 
一 个 带 SYN 标志 位 的 包 发 给 服务 器 ;服务 器 收 到 这 个 包 后 产生 一 个 自己 的 SYN 标志 ， 
并 把 收 到 包 的 SYN 十 I 作为 ACK 标志 返回 给 客户 机 : 客户 机 收 到 该 包 后 ,再 发 一 个 
ACK==SYN+I 的 包 给 服务 器 。 经 过 这 三 次 握手 ,连接 才 正式 建立 。 在 服务 器 向 客户 机 
发 返回 包 时 , 它 会 等 待 客户 机 的 ACK 确认 包 , 这 时 这 个 连接 被 加 到 未 完成 连接 的 队列 
中 ,直到 收 到 ACK 应 答 后 或 超时 才 从 队列 中 删除 。 这 个 队列 是 有 限 的 ,一 些 TCP/IP ME 
栈 的 实现 只 能 等 待 从 有 限 数量 的 计算 机 发 来 的 ACK 消息 ,因为 它们 只 有 有 限 的 内 存 组 
冲 区 用 于 创建 连接 ,如 果 这 些 缓冲 区 内 充满 了 虚假 连接 的 初始 信息 ,该 服务 器 就 会 对 接 下 
来 的 连接 停止 响应 ,直到 缓冲 区 里 的 连接 企图 超时 。 如 果 客 户 机 伪装 大 量 SYN 包 进 行 
连接 请 求 并 且 不 进行 第 三 次 握手 , 则 服务 器 的 未 完成 连接 队列 就 会 被 塞 满 ,正常 的 连接 请 
求 就 会 被 拒绝 ,这样 就 造成 了 拒绝 服务 。 

(3) 缓冲 区 溢出 攻击 

缓冲 区 是 程序 运行 时 计算 机 内 存 中 的 一 个 连续 块 。 大 多 数 情 况 下 为 了 不 占用 太 多 的 
内 存 , 一 个 有 动态 变量 的 程序 在 运行 时 才 决 定 给 它们 分 配 多 少 内 存 。 如 果 程 序 在 动态 分 
配 缓冲 区 放 入 超 长 的 数据 ,就 会 发 生 缓 冲 区 的 溢出 。 此 时 , 子 程序 的 返回 地 址 就 有 可 能 被 
超出 缓冲 区 的 数据 覆盖 ,如 果 在 溢出 的 缓存 区 中 写 人 想 执行 的 代码 (Shell-Code) ,并 使 返 
回 地 址 指向 其 起 始 地 址 ,CPU 就 会 转 而 执行 Shell-Code, 达 到 运行 任意 指令 从 而 进行 攻 
击 的 目的 。 

2. 程序 攻击 

1) 病毒 

(1) 病毒 的 主要 特征 

隐蔽 性 : 病毒 的 存在 、 传 染 和 对 数据 的 破坏 过 程 不 易 被 计算 机 操作 人 员 发 现 。 

寄生 性 : 计算 机 病毒 通常 是 依附 于 其 他 文件 而 存在 的 。 


33 


网 络 安全 实用 项 目 教程 


传染 性 : 计算 机 病毒 在 一 定 条 件 下 可 以 自我 复制 ,能 对 其 他 文件 或 系统 进行 一 系列 
非法 操作 ,并 使 之 成 为 一 个 新 的 传染 源 。 

触发 性 : 病毒 的 发 作 一 般 都 需要 一 个 激发 条 件 , 可 以 是 日 期 \ 时 间 、 特 定 程序 的 运行 
或 程序 的 运行 次 数 等 。 

破坏 性 : 病毒 在 触发 条 件 满足 时 ,会 立即 对 计算 机 系统 的 文件 .资源 等 的 运行 进行 干 
扰 破 坏 。 

预见 性 : 病毒 相对 于 防毒 软件 永远 是 超前 的 ,理论 上 讲 没有 任何 杀毒 软件 能 将 
所 有 的 病毒 杀 除 。 

针对 性 : 针对 特定 的 应 用 程序 或 操作 系统 ,通过 感染 数据 库 服务 器 进行 传播 。 

(2) 病毒 采用 的 触发 条 件 

日 期 触发 : 许多 病毒 采用 日 期 做 触发 条 件 。 日 期 触发 大 体 包括 : 特定 日 期 触发 .月 
份 触发 .前 半年 后 半年 触发 等 。 

时 间 触 发 : 时 间 触 发 包括 特定 的 时 间 和 触发 . 染 毒 后 累计 工作 时 间 触 发 ,文件 最 后 写 人 
时 间 触 发 等 。 

键盘 触发 : 有 些 病 毒 监视 用 户 的 击 键 动作 , 当 发 现 病毒 预定 的 键 有 动作 时 ,病毒 被 激 
活 ,进行 某 些 特定 操作 。 键 盘 触 发 包括 击 键 次 数 触发 .组 合 键 触发 . 热 启动 触发 等 。 

感染 触发 : 许多 病毒 的 感染 需要 某 些 条 件 触发 ,而 且 相 当 数 量 的 病毒 又 以 与 感染 有 
关 的 信息 反 过 来 作为 破坏 行为 的 触发 条 件 , 称 为 感染 触发 。 它 包括 : 运行 感染 文件 个 数 
触发 .感染 序数 触发 .感染 磁盘 数 触发 .感染 失败 触发 等 。 

启动 触发 : 病毒 对 机 器 的 启动 次 数 进行 计数 ,并 将 此 值 作为 触发 条 件 。 

访问 磁盘 次 数 触发 : 病毒 对 磁盘 L/O 访问 的 次 数 进行 计数 ,以 预定 次 数 做 触发 条 件 。 

调用 中 断 功 能 触发 : 病毒 对 中 断 调用 次 数 计数 ,以 预定 次 数 做 触发 条 件 。 

CPU 型 号 /主板 型 号 触发 : 病毒 能 识别 运行 环境 的 CPU 型 号 /主板 型 号 ,以 预定 
CPU 型 号 /主板 型 号 做 触发 条 件 , 这 种 病毒 的 触发 方式 奇特 罕见 。 被 计算 机 病毒 使 用 的 
触发 条 件 是 多 种 多 样 的 ,而 且 往往 不 只 是 使 用 上 面 所 述 的 某 一 个 条 件 ,而 是 使 用 由 多 个 条 
件 组 合 起 来 的 触发 条 件 。 大 多 数 病毒 的 组 合 触 发 条 件 是 基于 时 间 的 ,再 辅 以 读 、 写 盘 操 
作 ,按键 操作 以 及 其 他 条 件 等 。 

2) 蠕虫 

(1) 蠕虫 的 工作 原理 

CD 蠕虫 程序 的 实体 结构 。 蠕 虫 程序 相对 于 一 般 的 应 用 程序 ,在 实体 结构 方面 体现 出 
更 多 的 复杂 性 ,通过 对 多 个 蠕虫 程序 的 分 析 , 可 以 粗略 地 把 蠕虫 程序 的 实体 结构 分 为 如 下 
的 六 大 部 分 ,具体 的 蠕虫 可 能 是 由 其 中 的 几 部 分 组 成 。 

未 编译 的 源 代码 : 由 于 有 的 程序 参数 必须 在 编译 时 确定 ,所 以 蠕虫 程序 可 能 包含 
一 部 分 未 编译 的 程序 源 代码 。 

已 编译 的 链接 模块 : 不 同 的 系统 (同族 ) 可 能 需要 不 同 的 运行 模块 ,例如 不 同 的 硬 
件 厂商 和 不 同 的 系统 厂商 采用 不 同 的 运行 库 , 这 在 UNIX 族 的 系统 中 非常 常见 
可 运行 代码 : 整个 蠕虫 可 能 是 由 多 个 编译 好 的 程序 组 成 的 。 

脚本 : 利用 脚本 可 以 节省 大 量 的 代码 ,充分 利用 系统 Shell 的 功能 。 
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* 受 感染 系统 上 的 可 执行 程序 : 受 感染 系统 上 的 可 执行 程序 ,如 文件 传输 等 ,可 被 
蠕虫 作为 自己 的 组 成 部 分 。 
。 信息 数据 : 包括 已 破解 的 口令 、 要 攻击 的 地 址 列表 、 蠕 虫 自身 的 压缩 包 。 
© 蠕虫 程序 的 功能 结构 。 鉴 于 所 有 蠕虫 都 具有 相似 的 功能 结构 ,下 面 给 出 了 蠕虫 程 
序 的 统一 功能 模型 。 统 一 功能 模型 将 蠕虫 程序 分 解 为 基本 功能 模块 和 扩展 功能 模块 。 实 
现 了 基本 功能 模块 的 蠕虫 程序 就 能 完成 复制 传播 流程 ;包含 扩展 功能 模块 的 蠕虫 程序 则 
具有 更 强 的 生存 能 力 和 破坏 能 力 。 
基本 功能 由 五 个 功能 模块 构成 。 
。 搜索 模块 : 寻找 下 一 台 要 传染 的 机 器 ,为 提高 搜索 效率 ,可 以 采用 一 系列 的 搜索 
算法 。 
攻击 模块 : 在 被 感染 的 机 器 上 建立 传输 通道 (传染 途径 ) ,为 减少 第 一 次 传染 数据 
的 传输 量 , 可 以 采用 引导 式 结构 。 
传输 模块 : 计算 机 间 蠕 虫 程序 的 复制 。 
信息 搜集 模块 : 搜集 和 建立 被 传染 机 器 上 的 信息 。 
繁殖 模块 : 建立 自身 的 多 个 副本 ,在 同一 台 机 器 上 提高 传染 效率 ,并 避免 重复 
传染 。 
(2) 蠕虫 的 工作 流程 
蠕虫 程序 的 工作 流程 可 以 分 为 扫描 、 攻 击 、 现 场 处 理 、 复 制 四 部 分 。 当 扫描 到 有 漏洞 
的 计算 机 系统 后 ,进行 攻击 ,攻击 部 分 完成 蠕虫 主体 的 迁移 工作 ;进入 被 感染 的 系统 后 ,要 
做 现场 处 理工 作 ,现场 处 理工 作 包 括 隐藏 、 信 息 搜集 等 。 蠕 虫 程序 生成 多 个 副本 后 ,重复 
上 述 流程 。 
3) 木马 攻击 
(1) 木马 的 结构 
木马 程序 一 般 包含 两 个 部 分 : 外 壳 程 序 和 内 核 程序 。 
。 外 壳 程 序 : 一 般 是 公开 的 , 谁 都 可 以 看 得 到 。 往 往 具 有 足够 的 吸引 力 , 使 人 在 下 
载 或 复制 时 运行 外 壳 程 序 。 
。 内 核 程序 : 隐藏 在 外 壳 程 序 之 后 ,可 以 做 各 种 对 系统 造成 破坏 的 事情 ,如 : 发 动 攻 
击 ,破坏 设备 、 安 装 后 门 等 。 
(2) 木马 攻击 原理 
一 般 的 木马 程序 都 包括 客户 端 和 服务 端 两 个 程序 ,其 中 客户 端 是 用 于 攻击 者 远程 控 
制 植 入 木马 的 机 器 ,服务 器 端 程序 即 是 木马 程序 , 它 所 做 的 第 一 步 是 要 把 木马 的 服务 器 端 
程序 植 人 到 目标 的 计算 机 里 面 。 攻 击 者 要 通过 木马 攻击 目标 系统 。 当 植 和 成功 以 后 , 攻 
击 者 就 对 目标 计算 机 进行 非法 操作 。 
(3) 木马 具有 的 特性 
由 于 木马 所 从 事 的 是 “地 下 工作 ”, 因 此 它 必须 隐藏 起 来 , 它 会 想 尽 一 切 办 法 不 让 用 户 
发 现 它 。 它 的 特性 主要 体现 在 以 下 几 个 方面 。 
隐蔽 性 : 当 木 马 植 信 目标 计算 机 中 ,不 产生 任何 图 标 , 并 以 “系统 服务 ”的 方式 欺骗 操 
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具有 自动 运行 性 : 木马 为 了 控制 服务 端 。 它 必须 在 系统 启动 时 即 跟随 启动 ,所 以 它 
必须 潜入 启动 配置 文件 中 ,如 win. ini; system. ini, winstart. bat 以 及 启动 组 等 文件 之 中 ， 
包含 具有 未 公开 并 且 可 能 产生 危险 后 果 的 程序 。 

具备 自动 恢复 功能 : 木马 程序 中 的 功能 模块 具有 多 重 备份 ,可 以 相互 恢复 。 当 你 删 
除了 其 中 的 一 个 ,随后 马上 又 会 出 现 。 木 马 程序 能 自动 打开 特别 的 端口 。 当 木马 程序 植 
和 后 ,攻击 者 利用 该 程序 ,开启 系统 中 别 的 端口 ,以 便 进行 下 一 次 非法 操作 。 

通常 的 木马 功能 都 是 十 分 特殊 的 ,除了 普通 的 文件 操作 以 外 ,还 有 些 木 马 具 有 搜 缓存 
中 的 口令 ,设置 口令 ,扫描 目标 机 器 人 的 IP 地 址 进行 键盘 记录 远程 控制 注册 表 以 及 锁定 
鼠标 等 功能 。 


3. 电子 欺骗 攻击 


1) IP 电子 欺骗 攻击 

IP 欺骗 有 两 种 基本 方式 ,一 种 是 使 用 宽松 的 源 路 由 选择 来 截取 数据 包 ; 另 一 种 是 利 
用 UNIX 机 器 上 的 信任 关系 。 

使 用 宽松 的 源 路 由 选择 时 ,发 送 端 指明 了 流量 或 者 数据 包 必 须 经 过 的 IP 地 址 清单 ， 
但 如 果 有 需要 ,也 可 以 经 过 一 些 其 他 的 地 址 。 由 于 采用 单 向 的 IP 欺骗 时 ,被 次 用 的 地 址 
会 收 到 返回 的 信息 流 , 而 黑客 的 机 器 却 不 能 收 到 这 样 的 信息 流 , 所 以 黑客 就 在 使 用 假冒 的 
地 址 向 目的 地 发 送 数据 包 时 指定 宽松 的 源 路 由 选择 ,并 把 它 的 IP. 地 址 填 入 地 址 清单 中 ， 
最 终 截取 目的 机 器 返回 到 源 机 器 的 流量 。 

在 UNIX 系统 中 为 了 操作 方便 ,通常 在 主机 A 和 主机 B 中 建立 起 两 个 相互 信任 的 账 
户 。 黑 客 为 了 进行 IP 欺骗 ,首先 会 使 被 信任 的 主机 丧失 工作 能 力 ,同时 采样 目标 主机 向 
被 信任 的 主机 发 出 的 TCP 序列 号 ,猜测 出 它 的 数据 序列 号 ,然后 伪装 成 被 信任 的 主机 , 同 
时 建立 起 与 目标 主机 基于 地 址 验证 的 应 用 连接 ,以 便 进行 非 授 权 操 作 。 

2) DNS 电子 欺骗 攻击 

主机 域名 与 IP 地 址 的 映射 关系 是 由 域名 系统 DNS 来 实现 的 ,现在 Internet 上 主要 
使 用 Bind 域名 服务 器 程序 。 

DNS 协议 具有 以 下 特点 。 

DNS 报 文 只 使 用 一 个 序列 号 来 进行 有 效 性 鉴别 ,序列 号 由 客户 程序 设置 并 由 服务 器 
返回 结果 ,客户 程序 通过 它 来 确定 响应 与 查询 是 否 匹 配 , 这 就 引入 了 序列 号 攻击 的 危险 ; 
在 DNS 应 答 报 文中 可 以 附加 信息 ,该 信息 可 以 和 所 请 求 的 信息 没有 直接 关系 ,这 样 ,攻击 
时 就 可 以 在 应 答 中 随意 添加 某 些 信 息 ,指示 某 域 的 权威 域名 服务 器 的 域名 和 IP, 导 致 在 
被 影响 的 域名 服务 器 上 查询 该 域 的 请 求 都 会 被 转向 攻击 这 所 指定 的 域名 服务 器 上 ,从 而 
对 网 络 的 完整 性 造成 威胁 。DNS 有 高 速 缓 存 机 制 , 当 一 个 域名 服务 器 收 到 有 关 域 名 和 TP 
的 映射 信息 时 , 它 会 将 该 信息 存放 在 高 速 缓存 中 , 当 再 次 遇 到 对 此 域名 的 查询 请 求 时 就 直 
接 使 用 缓存 中 的 结果 而 无 须 重新 查询 。 

针对 DNS 协议 存在 的 安全 缺陷 ,目前 可 采用 的 DNS 欺骗 技术 有 以 下 几 种 。 

CD 内 应 攻击 。 攻 击 者 在 非法 或 合法 地 控制 一 台 DNS 服务 器 后 ,可 以 直接 操作 域名 
数据 库 ,把 指定 域名 所 对 应 的 IP 修改 为 自己 所 控制 的 主机 IP。 于 是 , 当 客 户 发 出 对 指定 
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域名 的 查询 请 求 后 ,将 得 到 伪造 的 IP 地 址 。 

(2) 序列 号 攻击 。DNS 协议 格式 中 定义 了 序列 号 ID, 用 来 匹配 请 求 数 据 包 和 响应 数 
据 包 ,客户 端 首先 以 特定 的 ID 向 DNS 服务 器 发 送 域名 查询 数据 包 , 在 DNS 服务 器 查询 
之 后 ,以 相同 的 ID 号 给 客户 端 发 送 域名 响应 数据 包 。 这 时 ,客户 端 将 收 到 的 DNS 响应 数 
据 包 的 ID 和 自己 发 送出 去 的 查询 数据 包 的 ID 比较 ,如 果 匹 配 , 则 使 用 之 , 否则 就 丢弃 。 
利用 序列 号 进行 DNS 欺骗 的 关键 是 伪装 成 DNS 服务 器 向 客户 端 发 送 DNS 响应 数据 包 ， 
而 且 要 在 DNS 服务 器 发 送 的 真实 DNS 响应 数据 包 之 前 到 达 客 户 端 ,从 而 使 客户 端 DNS 
缓存 中 查询 域名 所 对 应 的 IP 就 是 攻击 者 伪造 的 IJP。 其 欺骗 的 前 提 条 件 是 攻击 者 发 送 的 
DNS 响应 数据 包 ID 必须 匹配 客户 的 DNS 查询 数据 包 ID。 

利用 序列 号 进行 DNS 欺骗 有 两 种 情况 。 

第 一 , 当 攻 击 者 与 DNS 服务 器 .客户 端 均 不 在 同一 个 局 域 网 内 时 ,攻击 者 可 以 向 客户 
端 发 送 大 量 的 携 有 随机 ID 序列 号 的 DNS 响应 数据 包 , 其 中 包 内 含有 攻击 者 伪造 的 IP. 
但 ID 匹配 的 概率 很 低 , 所 以 攻击 的 效率 不 高 。 

第 二 , 当 攻 击 者 至 少 与 DNS 服务 器 或 者 客户 端 某 一 个 处 在 同一 个 局 域 网 内 时 ,攻击 
者 可 以 通过 网 络 监 听 得 到 DNS 查询 包 的 序列 号 ID, 这 时 ,攻击 者 就 可 以 发 送 自 己 伪造 好 
的 DNS 响应 包 给 客户 端 ,这 种 方式 攻击 更 高 效 。 


4. 对 网 络 协议 (TCP/IP) 弱 点 的 攻击 


1) 网 络 监 听 

(1) 网 络 监听 的 原理 

网 络 中 传输 的 每 个 数据 包 都 包含 有 目的 MAC 地 址 ,局 域 网 中 数据 包 以 广播 的 形式 
发 送 。 假 设 接收 端 计算 机 的 网 卡 工作 在 正常 模式 下 ,网 卡 会 比较 收 到 数据 包 中 的 目的 
MAC 地 址 是 否 为 本 计算 机 MAC 地 址 或 为 广播 地 址 ,如 果 是 需要 的 地 址 ,数据 包 将 被 接 
收 ;如 果 不 是 ,网 卡 直 接 将 其 丢弃 。 

假设 网 卡 被 设置 为 混杂 模式 ,那么 它 就 可 以 接收 所 有 经 过 的 数据 包 。 也 就 是 说 ,只 要 
是 发 送 到 局 域 网 内 的 数据 包 , 都 会 被 设置 成 混杂 模式 的 网 卡 所 接收 。 

现在 局 域 网 都 是 交换 式 局 域 网 ,以 前 广播 式 局 域 网 中 的 监听 不 再 有 效 。 但 监听 者 仍 
然 可 以 通过 其 他 途径 来 监听 交换 式 局 域 网 中 的 通信 。 

(2) 攻击 手段 

网 络 监听 是 主机 的 一 种 工作 模式 ,在 这 种 模式 下 ,主机 可 以 接收 到 本 网 段 在 同一 条 物 
理 通道 上 传输 的 所 有 信息 ,而 不 管 这 些 信 息 的 发 送 方 和 接收 方 是 谁 。 因 为 系统 在 进行 密 
码 校 验 时 ,用 户 输入 的 密码 需要 从 用 户 端 传送 到 服务 器 端 ,而 攻击 者 就 能 在 两 端 之 间 进 行 
数据 监听 。 此 时 若 两 台 主 机 进行 通信 的 信息 没有 加 密 , 只 要 使 用 某 些 网 络 监听 工具 (如 
NetXRay for Windows 95/98/NT ,Sniffit for Linux, Solaries 等 ) ,就 可 轻而易举 地 截取 
包括 口令 和 账号 在 内 的 信息 资料 。 

2) 电子 邮件 攻击 

电子 邮件 是 互联 网 上 运用 得 十 分 广泛 的 一 种 通信 方式 。 攻 击 者 使 用 一 些 邮 件 炸 弹 软 
件 或 CGI 程序 向 目的 邮箱 发 送 大 量 内 容重 复 、 无 用 的 垃圾 邮件 ,从 而 使 目的 邮箱 被 撑 爆 
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而 无 法 使 用 。 攻 击 者 还 可 以 伴 装 系统 管理 员 ,给 用 户 发 送 邮件 要 求 用 户 修改 口令 或 在 貌 
似 正 常 的 附件 中 加 载 病毒 或 其 他 木马 程序 。 


2.3.3 社会 工程 学 介绍 


社会 工程 学 就 是 使 人 们 顺从 人 们 的 意愿 ,满足 人 们 的 欲望 的 一 门 艺术 与 学 问 。 它 并 
不 单纯 是 一 种 控制 意志 的 途径 。 它 不 能 帮助 你 掌握 人 们 在 非 正常 意识 以 外 的 行为 , 且 学 
习 与 运用 这 门 学 问 一 点 也 不 容易 。 

它 同样 也 蕴含 了 各 式 各 样 的 灵活 的 构思 与 变化 着 的 因素 。 无 论 任 何 时 候 ,在 需要 套 
取 到 所 需要 的 信息 之 前 ,社会 工程 学 的 实施 者 都 必须 掌握 大 量 的 相关 知识 基础 , 花 时 间 去 
从 事 资 料 的 收集 与 进行 必要 的 如 交谈 性 质 的 沟通 行为 。 与 以 往 的 入 侵 行为 相 类 似 , 社 会 
工程 学 在 实施 以 前 都 需要 完成 很 多 相关 的 准备 工作 ,这 些 工 作 甚 至 要 比 其 本 身 还 要 更 为 

社会 工程 学 定位 在 计算 机 信息 安全 工作 链 路 的 一 个 最 脆弱 的 环节 上 。 我 们 经 常 讲 : 
最 安全 的 计算 机 就 是 已 经 拔 去 了 插头 (注释 : 网 络 接口 ) 的 那 一 台 ( 注 释 : 物理 隔离 )。 事 
实 上 ,你 可 以 去 说 服 某 人 (注释 : 使 用 者 ) 把 这 台 非 正常 工作 状态 下 的 、 容 易 受 到 攻击 的 
(注释 : 有 漏洞 的 ) 机 器 接 上 插头 (注释 : 连 上 网 络 ) 并 启动 (注释 : 提供 日 常 的 服务 )。 也 
可 以 看 出 ,“ 人 ”这 个 环节 在 整个 安全 体系 中 是 非常 重要 的 。 

这 不 像 地 球 上 的 计算 机 系统 ,不 依赖 他 人 手动 干预 (注释 : 人 有 自己 的 主观 思维 )。 
由 此 意味 着 这 一 点 信息 安全 的 脆弱 性 是 普遍 存在 的 , 它 不 会 因为 系统 平台 、 软 件 、 网 络 或 
者 设备 的 使 用 年 限 等 因素 不 相同 而 有 所 差异 。 

无 论 是 在 物理 上 还 是 在 虚拟 的 电子 信息 上 ,任何 一 个 可 以 访问 系统 某 个 部 分 (注释 : 
某 种 服务 ) 的 人 都 有 可 能 构成 潜在 的 安全 风险 与 威胁 。 任 何 细微 的 信息 都 可 能 会 被 社会 
工程 学 使 用 者 运用 ,使 其 得 到 其 他 的 信息 。 这 意味 着 如 果 没 有 把 * 人 "(注释 ; 这 里 指 的 是 
使 用 者 /管理 人 员 等 的 参与 者 ) 这 个 因素 放 进 企业 安全 管理 策略 中 去 ,将 会 构成 一 个 很 大 
的 安全 “裂缝 ”。 


2.3.4 网 络 安全 解决 方案 


l. 局域网 安全 现状 


广域网 络 已 有 了 相对 完善 的 安全 防御 体系 ,比如 ,防火 墙 \ 漏 洞 扫描 、 防 病毒 、IDS 等 
网 关 级 别 、 网 络 边 界 方 面 的 防御 ,重要 的 安全 设施 大 致 集中 于 机 房 或 网 络 入 口 处 ,在 这 些 
设备 的 严密 监控 下 ,来 自 网 络 外 部 的 安全 威胁 大 大 减 小 。 相 反 , 来 自 网 络 内 部 的 计算 机 客 
户 端的 安全 威胁 缺乏 必要 的 安全 管理 措施 ,安全 威胁 较 大 。 未 经 授权 的 网 络 设备 或 用 户 
就 可 能 通过 连接 到 局 域 网 的 网 络 设备 自动 进入 网 络 ,形成 极 大 的 安全 隐患 。 目 前 ,局 域 网 
络 安全 隐患 是 利用 了 网 络 系统 本 身 存 在 的 安全 弱点 ,而 系统 在 使 用 和 管理 过 程 的 下 漏 增 
加 了 安全 问题 的 严重 程度 。 
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2. 局 域 网 安全 威胁 分 析 


局 域 网 (LAN) 是 指 在 小 范围 内 由 服务 器 和 多 台 计 算 机 组 成 的 工作 组 互联 网 络 。 由 
于 通过 交换 机 和 服务 器 连接 网 内 每 一 台 计 算 机 ,因此 局 域 网 内 信息 的 传输 速率 比较 高 。 
同时 局 域 网 采用 的 技术 比较 简单 ,安全 措施 较 少 ,同样 也 给 病毒 传播 提供 了 有 效 的 通道 ， 
并 为 数据 信息 的 安全 埋 下 了 隐患 。 局 域 网 的 网 络 安 全 威胁 通常 有 以 下 几 类 。 

(1) 欺骗 性 的 软件 使 数据 安全 性 降低 

由 于 局 域 网 的 主要 作用 是 资源 共享 ,而 正 是 由 于 共享 资源 的 “数据 开放 性 ”, 导 致 数据 
信息 容易 被 算 改 和 删除 ,数据 安全 性 较 低 。 例 如 “网 络 钓鱼 攻击 ”, 钓 鱼 工具 是 通过 大 量 发 
送 声 称 来 自 于 一 些 知名 机 构 的 欺骗 性 垃圾 邮件 ,意图 引诱 收 信人 给 出 敏感 信息 : 如 用 户 
名 口令 JIES ID, ATM PIN 码 或 信用 卡 详细 信息 等 的 一 种 攻击 方式 。 最 常用 的 手法 是 
冒充 一 些 真正 的 网 站 来 骗取 用 户 的 敏感 数据 。 以 往 此 类 攻击 多 是 冒名 大 型 或 著名 的 网 
站 ,但 由 于 大 型 网 站 反应 比较 迅速 ,而 且 所 提供 的 安全 功能 不 断 增强 ,网 络 钓鱼 已 越 来 越 
多 地 把 目光 对 准 了 较 小 的 网 站 。 同 时 由 于 用 户 缺 乏 数据 备份 等 数据 安全 方面 的 知识 和 手 
段 ,因此 会 造成 经 常 性 的 信息 丢失 等 现象 发 生 。 

(2) 服务 器 区 域 没有 进行 独立 防护 

局 域 网 内 计算 机 的 数据 快速 、 便 捷 地 传递 ,造就 了 病毒 感染 的 直接 性 和 快速 性 ,如 果 
局 域 网 中 服务 器 区 域 不 进行 独立 保护 ,其 中 一 台 计算 机 感染 病毒 ,并 且 通 过 服务 器 进行 信 
息 传 递 ,就 会 感染 服务 器 ,这样 局 域 网 中 任何 一 台 通 过 服务 器 信息 传递 的 计算 机 ,就 有 可 
能 感染 病毒 。 虽然 在 网 络 出 口 有 防火 墙 阻 断 外 来 的 攻击 ,但 无 法 抵挡 来 自 局 域 网 内 部 的 
攻击 。 

(3) 计算 机 病毒 及 恶意 代码 的 威胁 

由 于 网 络 用 户 不 及 时 安装 防 病毒 软件 和 操作 系统 补丁 ,或 未 及 时 更 新 防 病毒 软件 的 
病毒 库 而 造成 计算 机 病毒 的 入 侵 。 许 多 网 络 寄 生 犯 罪 软件 的 攻击 正 是 利用 了 用 户 的 这 个 
弱点 。 寄 生 软 件 可 以 修改 磁盘 上 现 有 的 软件 ,在 自己 寄生 的 文件 中 注入 新 的 代码 。 最 近 
几 年 , 随 着 犯罪 软件 (crime ware) 测 涌 而 至 ,寄生 软件 已 退 居 幕后 ,成 为 犯罪 软件 的 助手 。 
2007 年 ,两 种 软件 的 结合 推动 了 旧 有 寄生 软件 变种 增长 3 倍 之 多 。2008 年 ,预计 犯罪 软 
件 社区 对 寄生 软件 的 兴趣 将 继续 增长 ,寄生 软件 的 总 量 预计 将 增长 20% 。 


3. 局 域 网 用 户 安全 意识 不 强 


许多 用 户 使 用 移动 存储 设备 来 进行 数据 的 传递 ,经 常 将 外 部 数据 不 经 过 必要 的 安 
全 检查 而 通过 移动 存储 设备 带 入 内 部 局 域 网 ,同时 将 内 部 数据 带 出 局 域 网 ,这 给 木马 、 
蠕虫 等 病毒 的 进入 提供 了 方便 ,同时 增加 了 数据 泄密 的 可 能 性 。 另 外 一 机 两 用 甚至 多 
用 情况 普遍 ,笔记 本 电脑 在 内 外 网 之 间 频 繁 切换 使 用 ,许多 用 户 将 在 Internet 网 上 使 用 
过 的 笔记 本 电脑 在 未 经 许可 的 情况 下 擅自 接 人 内 部 局 域 网 ,造成 病毒 的 传人 和 信息 的 
泄密 。 
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4. IP 地 址 冲突 


局 域 网 用 户 在 同一 个 网 段 内 经 常 出 现 TP 地 址 冲突 ,造成 部 分 计算 机 无 法 上 网 。 对 于 
局 域 网 来 讲 , 此 类 IP 地 址 冲突 的 问题 会 经 常 出 现 ,用 户 规模 越 大 ,查找 工作 就 越 困 难 , 所 
以 网 络 管理 员 必 须 加 以 解决 。 

正 是 由 于 局 域 网 内 应 用 上 这 些 独特 的 特点 ,造成 局 域 网 内 的 病毒 快速 传递 ,数据 安全 
性 低 , 网 内 计算 机 相互 感染 ,病毒 屡 杀 不 尽 ,数据 经 常 丢失 。 


5. 局 域 网 安全 控制 与 病毒 防治 策略 


应 加 强人 员 的 网 络 安全 培训 。 

安全 是 个 过 程 , 它 是 一 个 汇集 了 硬件 软件、 网 络 、 人 员 以 及 它们 之 间 互 相关 系 和 接口 
的 系统 。 从 行业 和 组 织 的 业务 角度 看 ,主要 涉及 管理 ,技术 和 应 用 三 个 层面 。 

要 确保 信息 安全 工作 的 顺利 进行 ,必须 注重 把 每 个 环节 落实 到 每 个 层次 上 ,而 进行 这 
种 具体 操作 的 是 人 ,人 正 是 网 络 安全 中 最 薄弱 的 环节 ,然而 这 个 环节 的 加 固 又 是 见效 最 快 
的 。 所 以 必须 加 强 对 使 用 网 络 人 员 的 管理 ,注意 管理 方式 和 实现 方法 ,从 而 加 强 工作 人 员 
的 安全 培训 。 增 强 内 部 人 员 的 安全 防范 意识 ,提高 内 部 管理 人 员 的 整体 素质 。 同 时 要 加 
强 法 制 建设 ,进一步 完善 关于 网 络 安全 的 法 律 ,以 便 更 有 利 地 打击 不 法 分 子 。 对 局 域 网 内 
部 人 员 ,应 从 下 面 几 方面 进行 培训 。 

CD 加 强 安全 意识 培训 ,让 每 位 工作 人 员 明 白 数据 信息 安全 的 重要 性 ,理解 保证 数据 
信息 安全 是 所 有 计算 机 使 用 者 共同 的 责任 。 

@ 加 强 安全 知识 培训 ,使 每 位 计算 机 使 用 者 掌握 一 定 的 安全 知识 ,至 少 能 够 掌握 如 
何 备份 本 地 的 数据 ,保证 本 地 数据 信息 的 安全 可 靠 。 

© 加 强 网 络 知识 培训 ,通过 培训 掌握 一 定 的 网 络 知识 ,使 员工 能 够 掌握 TP 地 址 的 配 
置 . 数 据 的 共享 等 网 络 基本 知识 ,树立 良好 的 计算 机 使 用 习惯 。 


6. 局 域 网 安全 控制 策略 


安全 管理 保护 网 络 用 户 资源 与 设备 以 及 网 络 管理 系统 本 身 不 被 未 经 授权 的 用 户 访 
问 。 目 前 网 络 管理 工作 量 最 大 的 部 分 是 客户 端 安全 部 分 ,对 网 络 的 安全 运行 威胁 最 大 的 
也 同样 是 客户 端 安全 管理 。 只 有 解决 了 网 络 内 部 的 安全 问题 , 才 可 以 排除 网 络 中 最 大 的 
安全 隐患 ,对 于 内 部 网 络 终端 安全 管理 ,主要 从 终端 状态 .行为 .事件 三 个 方面 进行 防御 。 

利用 现 有 的 安全 管理 软件 加 强 对 以 上 三 个 方面 的 管理 ,是 当前 解决 局 域 网 安全 的 关 
键 所 在 。 

利用 桌面 管理 系统 控制 用 户 人 网 。 入 网 访问 控制 是 保证 网 络 资源 不 被 非法 使 用 的 前 
提 , 是 网 络 安全 防范 和 保护 的 主要 策略 。 它 为 网 络 访问 提供 了 第 一 层 访 问 控制 。 它 可 以 
控制 哪些 用 户 能 够 登录 到 服务 器 并 获取 网 络 资源 ,控制 用 户 入 网 的 时 间 和 在 哪 台 工作 站 
入 网 。 用 户 和 用 户 组 被 赋予 一 定 的 权限 ,网络 能 够 控制 用 户 和 用 户 组 可 以 访问 的 目录 、 文 
件 和 其 他 资源 ,可 以 指定 用 户 对 这 些 文件 .目录 、 设 备 能 够 执行 的 操作 。 启 用 密码 策略 , 强 
制 计算 机 用 户 设置 符合 安全 要 求 的 密码 ,包括 设置 口令 锁定 服务 器 控制 台 ,以 防止 非法 用 
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户 修 改 。 设 定 服务 器 登录 时 间 限 制 、 检 测 非 法 访问 ;防止 非法 用 户 删除 重要 信息 或 破坏 数 
据 , 从 而 提高 系统 的 安全 性 。 对 密码 不 符合 要 求 的 计算 机 在 多 次 警告 后 阻 断 其 联网 。 

采用 防火 墙 技术 。 防 火 墙 技术 通常 安装 在 单独 的 计算 机 上 ,与 网 络 的 其 余部 分 隔 开 ， 
它 使 内 部 网 络 与 Internet 之 间或 与 其 他 外 部 网 络 互相 隔离 ,限制 网 络 互 访 , 用 来 保护 内 部 
网 络 资源 免 遭 非法 使 用 者 的 侵入 ,执行 安全 管制 措施 ,记录 所 有 可 疑 事件 。 它 是 在 两 个 网 
络 之 间 实 行 控制 策略 的 系统 ,是 建立 在 现代 通信 网 络 技术 和 信息 安全 技术 基础 上 的 应 用 
性 安全 技术 。 采 用 防火 墙 技 术 发 现 及 封 阻 应 用 攻击 所 采用 的 技术 有 以 下 几 种 。 

CD 深度 数据 包 处 理 。 深 度数 据 包 处 理 在 一 个 数据 流 当 中 有 多 个 数据 包 , 在 寻找 攻击 
异常 行为 的 同时 ,保持 整个 数据 流 的 状态 。 深 度数 据 包 处 理 要 求 以 极 高 的 速度 分 析 ,检测 
及 重新 组 装 应 用 流量 ,以 避免 应 用 时 带 来 时 延 。 

@ IP/URL 过 滤 。 一 旦 应 用 流量 是 明文 格式 ,就 必须 检测 HTTP 请 求 的 URL 部 
分 ,寻找 恶意 攻击 的 迹象 ,这 就 需要 一 种 方案 不 仅 能 检查 RUL, 还 能 检查 请 求 的 其 余部 
分 。 其 实 ,如 果 把 应 用 响应 考虑 进来 ,可 以 大 大 提高 检测 攻击 的 准确 性 。URL 过 滤 是 一 
项 重要 的 操作 ,可 以 阻止 通常 的 脚本 类 型 的 攻击 。 

@ TCP/IP 终止。 应 用 层 攻击 涉及 多 种 数据 包 , 并 且 常 常 涉及 不 同 的 数据 流 。 流 量 
分 析 系 统 要 发 挥 功效 ,就 必须 在 用 户 与 应 用 保持 互动 的 整个 会 话 期 间 能 够 检测 数据 包 和 
请 求 , 以 寻找 攻击 行为 。 至 少 ,这 需要 能 够 终止 传输 层 协议 ,并且 在 整个 数据 流 而 不 是 仅 
仅 在 单个 数据 包 中 寻找 恶意 模式 。 系 统 中 存 着 一 些 访问 网 络 的 木马 、 病 毒 等 IP 地 址 ,应 
经 常 检查 访问 的 IP 地 址 或 者 端口 是 否 合法 ,有 效 的 TCP/IP 是 否 终止 ,并 能 有 效 地 扼杀 
木马 等 。 

CD 访问 网 络 进程 跟踪 。 访 问 网 络 进程 跟踪 ,这 是 防火 墙 技术 的 最 基本 部 分 ,使 用 该 
功能 可 以 判断 进程 访问 网 络 的 合法 性 ,并 对 木马 ,病毒 程序 进行 有 效 拦截 。 这 项 功能 通常 
借助 于 TDI 层 的 网 络 数据 拦截 ,得 到 操作 网 络 数据 报 的 进程 的 详细 信息 并 加 以 实现 。 


7. 病毒 防治 


病毒 的 侵入 必 将 对 系统 资源 构成 威胁 ,影响 系统 的 正常 运行 。 特 别 是 通过 网 络 传播 
的 计算 机 病毒 ,能 在 很 短 的 时 间 内 使 整个 计算 机 网 络 处 于 瘫 痰 状态 ,从 而 造成 巨大 的 损 
失 。 因 此 ,防止 病毒 的 侵入 要 比 发 现 和 消除 病毒 更 重要 。 防 毒 的 重点 是 控制 病毒 的 传染 。 
防毒 的 关键 是 对 病毒 行为 的 判断 。 如 何 有 效 辨 别 病毒 行为 与 正常 程序 行为 是 防毒 成 功 与 
否 的 重要 因素 。 防 病毒 体系 是 建立 在 每 个 局 域 网 的 防 病毒 系统 上 的 ,应 从 以 下 几 个 方面 
制定 有 针对 性 的 防 病毒 策略 。 

CD 增加 安全 意识 和 安全 知识 ,对 工作 人 员 进 行 定期 培训 。 首 先 明 确 病 毒 的 危害 , 文 
件 共 享 的 时 候 尽量 控制 权限 和 增加 密码 ;其 次 对 来 历 不 明 的 文件 在 运行 前 进行 查 杀 等 ,都 
可 以 很 好 地 防止 病毒 在 网 络 中 的 传播 。 这 些 措施 对 杜绝 病毒 会 起 到 很 重要 的 作用 。 

@ 小 心 使 用 移动 存储 设备 。 在 使 用 移动 存储 设备 之 前 一 定 要 进行 病毒 的 扫描 和 查 
杀 , 从 而 防止 了 病毒 的 入 侵 。 

@ 挑选 网 络 版 杀毒 软件 。 一 般 而 言 , 查 杀 是 否 彻 底 , 界 面 是 否 友好 、 方 便 , 能 否 实现 
远程 控制 ,集中 管理 ,是 决定 一 个 网 络 杀 毒 软件 的 三 大 要 素 。 
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通过 以 上 策略 的 设置 ,能 够 及 时 发 现 网 络 运行 中 存在 的 问题 ,快速 有 效 地 定位 网 络 中 
病毒 .蠕虫 等 网 络 安全 威胁 的 切入 点 ,及 时 、 准 确 地 切断 安全 事件 发 生 点 。 

局 域 网 安全 控制 与 病毒 防治 是 一 项 长 期 而 艰巨 的 任务 ,需要 不 断 地 探索 。 随 着 网 络 
应 用 的 发 展 ,计算 机 病毒 的 形式 及 传播 途径 日 趋 多 样 化 ,安全 问题 日 益 复杂 化 ,网 络 安全 
建设 已 不 再 像 单 台 计 算 安全 防护 那样 简单 。 计 算 机 网 络 安全 需要 建立 多 层次 的 .立体 的 
防护 体系 ,要 具备 完善 的 管理 系统 来 设置 和 维护 对 安全 的 防护 策略 。 


24 m BH Xi 


任务 2-1 网 络 信息 搜集 


1. 不 同 环境 和 应 用 中 的 网 络 安全 


从 本 质 上 讲 , 网 络 安全 就 是 网 络 上 的 信息 安全 , 指 网 络 系统 的 硬件 .软件 及 其 系统 中 
的 数据 受到 保护 ,不 因 偶 然 或 恶意 原因 而 遭 到 破坏 、 更 改 和 泄露 ,保证 系统 连续 可 靠 正常 
地 运行 ,网 络 服务 不 中 断 。 不 同 环境 和 应 用 中 的 网 络 安全 主要 包括 以 下 方面 。 

(D 运行 系统 安全 : 保证 信息 处 理 和 传输 系统 的 安全 。 

@ 网 络 上 信息 内 容 的 安全 : 侧重 于 保护 信息 的 保密 性 、 真 实 性 和 完整 性 ,避免 攻击 
者 利用 系统 的 安全 漏洞 进行 窃听 、 冒 充 、 诈 骗 等 有 损 于 合法 用 户 的 行为 。 

C 网 络 上 系统 信息 的 安全 : 包括 用 户口 令 鉴别 .用 户 存 取 权限 控制 数据 存 取 权限 、 
方式 控制 ,安全 审计 安全 问题 跟踪 、 计 算 机 病毒 防治 、 数 据 加 密 等 。 

© 网 络 上 信息 传播 的 安全 : 指 信息 传播 后 的 安全 ,包括 信息 过 滤 等 。 


2. 网 络 发 展 和 信息 安全 的 现状 


随 着 互联 网 的 发 展 ,网 络 安全 技术 在 与 网 络 攻击 的 对 抗 中 不 断 发 展 。 从 总 体 上 看 ,经 
历 了 从 静态 到 动态 .从 被 动 防范 到 主动 防范 的 发 展 过 程 。 目 前 我 国 网 络 安全 仍 存在 一 些 
问题 ,包括 以 下 方面 。 

CD 信息 和 网 络 的 安全 防护 能 力 差 。 

© 基础 信息 产业 严重 依靠 国外 。 

@ 信息 安全 管理 机 构 权 威 性 不 够 。 

@ 全 社会 的 信息 安全 意识 淡薄 。 


任务 2-2 端口 扫描 


1. X-Scan 扫描 工具 


X-Scan 的 主要 功能 : 采用 多 线程 方式 对 指定 IP 地 址 段 (或 单机 ) 进 行 安全 漏洞 检测 ， 
支持 插件 功能 。 扫 描 内 容 包 括 远 程 服务 类 型 .操作 系统 类 型 及 版 本 ,各 种 弱 口 令 漏 洞 .后 
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门 \ 应 用 服务 漏洞 、 网 络 设备 漏洞 .拒绝 服务 漏洞 等 二 十 几 个 大 类 。 
X-Scan 使 用 实例 如 下 。 


(1) X-Scan 无 须 安 装 与 注册 ,只 要 解压 即 可 使 用 。X-Scan 的 运行 界面 如 图 2-1 
所 示 。 


| X-Scan v3. 3 GUI 

文件 WD REW 查看 GD) IRW Langusge HHU 
[elè n=|/&@|@ x 
普通 信息 | 漏洞 信息 | 错误 信息 | 


|x-Scan-v3.3 使 用 说 明 


| 一 、 系 统 要 求 ; Windows. NT/2000/XP/2003 


论 上 可 运行 于 Windows 机 系列 拘 作 系统 ， 推 荐 运行 于 findows 2000 以 上 的 
erver 版 Windows 系 统 。 


2-1 X-Scan 扫描 工具 运行 界面 


(2) 运行 X-Scan 后 ,选择 “设置 "一 “扫描 参数 "命令 ,就 会 进入 参数 设置 界面 ,如 图 2-2 
所 示 。 


€^ 另存 


2-2 “扫描 参数 ”对 话 框 


G) 在 “指定 IP 范围 文本 框 内 添加 要 扫描 的 IP 地 址 段 , 在 “全 局 设置 "和 “插件 设 
置 ?中 可 以 任意 选择 扫描 参数 选项 ,如 图 2-3 所 示 。 


(4) 单 击 “ 确 定 ” 按 钮 ,返回 X-Scan 主 界面 ,选择 “文件 ”一 “开始 扫描 ”菜单 命令 , 即 
可 开始 对 指定 IP 段 的 主机 进行 扫描 ,如 图 2-4 所 示 。 


O 扫描 完毕 以 后 ,选择 “查看 ”>“ 检 测报 告 ”菜单 命令 ,能 够 获取 扫描 结果 , 即 漏 洞 
分 析 结 果 , 如 图 2-5 所 示 。 
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445/tep 
135/tcp 


E Bl 192. 166. 16.1 
开放 服务 
ROS 


指定 IT 范围 : 
ee 168. 18. 1-192 166. 18.15 示例 


| 


192. 168.18. 15 
192. 168. 18. 1 


Eus 
E Sue. 


ERE ROS 
Ec EE d 


/ Active/Maximun host thread: 2/10, Current/Maximum 


图 2-4 X-Scan 扫描 界面 


本 报表 列 出 了 被 检测 主机 的 详细 漏洞 信息 , 请 根据 提示 信息 或 链接 内 容 进行 相应 修补 , 欢迎 参加 x- 
Scan B BER Hl 


[2005-7-29 12:04:54 - 2005-7-29 12:17:29 


主机 


结果 


192.168.18.15 


发 现 安全 漏洞 


主机 摘要 - O5: Windows XP; PORT/TCP: 135, 445 


192.168.18.1 


发 现 安全 警 省 


EMRE - o5: Unknown O5; PORTITCP: 21, 23, 80 


DEEISES] 


图 2-5 X-Scan 检测 报告 
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(6)“ 工 具 ” 菜 单 下 还 有 “物理 地 址 查询 ”、ARP query, Whois, Trace route, Ping 等 命 
令 , 可 以 对 目标 主机 进行 MAC 地 址 查询 、 路 由 查询 以 及 Ping 操作 等 ,如 图 2-6 所 示 。 


X-Scan v3.3 GUI 


[I 
ARP query 
Tho 


166.181]: "EIFE S IBE. 
is 168. 18.1) Zia SQL-Server 330$" 


Active thread: 0 


图 2-6 X-Scan 的 “工具 ”菜单 命令 


2. Superscan 


Superscan 是 一 款 老 牌 的 端口 扫描 工具 ,其 突出 特点 就 是 扫描 速度 快 。 除 端口 扫描 ， 
它 还 有 许多 其 他 功能 ,这 是 黑客 进行 端口 扫描 经 常用 到 的 工具 。 

主要 功能 : 检测 一 定 范围 内 目标 主机 是 否 在 线 和 端口 的 开放 情况 ,检测 目标 主机 提 
供 的 各 种 服务 ,通过 Ping 命令 检验 IP 是 否 在 线 , 进 行 IP 与 域名 的 转换 等 。 

Superscan 应 用 实例 如 下 。 

(1) Superscan 是 绿色 软件 ,无 须 安装 .下 载 并 解压 后 可 以 直接 使 用 。Superscan 的 运 
行 界面 如 图 2-7 所 示 。 


扫描 “| 主机 和 服务 扫描 设置 | 扫描 选项 | 工具 ”| Windows B| AF | 
IP 地 址 


aswe 了 [BR [mi Es 
psmmx[ . . .  . 
结束 X| 

从 文件 读 取 IP 地 址 | 


图 2-7 Superscan 运行 界面 


(2) 在 “开始 IP”" 和 “结束 IP" 文 本 框 中 输入 需要 扫描 的 目标 主机 IP Bt dz" JE a” E 
标 按钮 就 能 进行 IP 扫描 了 ,如 图 2-8 所 示 。 

(3) 选择 "主机 和 服务 扫描 设置 ?选项 卡 , 可 以 对 目标 主机 信息 反馈 方式 .TUP 端口 
以 及 UDP 端口 进行 设置 ,如 图 2-9 所 示 。 

(4) 选择 “工具 ”选项 卡 , 在 “主机 名 /IP/URL” 文 本 框 中 输入 目标 主机 的 主机 名 、IP 
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Be xsmugeneem|meem| IA user] | 


IP 地 址 
主机 名 /站 2| per err 00 me 
man xa mno 202.119.40.1 202. 119.40. perm 
sem rp X|[20? 19 40 .254 


202.119.40.115 
Hostname: law.nju.edu.cn 
UDP ports (1) 137 
202.119.40.123 
Hostname: zhzhix43.nju.edu.cn 
UDP ports (1) 123 


202.119.40.155 


Service scan passes: 1 

Hostname resolving passes: 1 

Full connect TCP scanning for service scanning: No 
Service scanning TCP timeout: 4000 

Service scanning UDP timeout: 2000 

TCP source port: 0 

|UDP source port: 0 

Enable hostname lookup: Yes 


b ] mjn s mds Q0 
AHEAD HR PR 
DO:58 — Saved log file live: 13 FE open: O [VDP open: 12 — 254/254 done 


图 2-8 IP 段 扫描 实例 


fus SRSA AAA | Windows 枚 学 | 关于 [ 


d Iv By 超时 设置 ms) [2000 
CAELO T 时 间作 请求 

厂 地 址 掩 码 请 求 

厂 (Bk 
F UDP 端口 扫描 超时 设置 ms) [2000 


w 


Thin >| H ^ FENE GData C Data+ ICNP 
结束 端口 nu - 
53 
Aachen >| |67-eg p 5o 
me | amem | 


fv TCP 端口 扫描 超时 设置 ms) [4000 
开始 端口 到 | ^ RERE C 直接 连接 Coon 
sso js 
13 " 
从 文件 读 职 端口 ->| is x T ewan 


mE | 清除 所 有 
图 2-9 主机 和 服务 扫描 设置 窗口 


地 址 或 者 域名 ,然后 单 击 “ 查 找 主机 名 /IP”、Ping 等 图 标 按钮 , 即 能 够 获取 目标 主机 的 各 


种 信息 ,如 图 2-10 所 示 。 
(5) 选择 “Windows 枚 举 ” 选 项 卡 , 在 “主机 名 /IP/URL” 文 本 框 中 输入 目标 主机 的 主 


PLA IP 地 址 或 者 域名 ,然后 选择 需要 枚 举 的 类 型 , 单 击 Enumerate 按钮 ,能 够 获取 目标 
主机 的 各 种 枚 举 信 息 ,如 图 2-11 所 示 。 
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ix& | 主机 和 服务 扫描 设置 | 扫 撕 选项 工具 。 | Yinaows 枚 举 | 关于 | 


主机 名 /IPTURL [e nju edu en 
默认 Whois 服 务 器 [rhois networksolutions. com 


Resolving www.nju.edu.cn... 
202.119.32.7 

Pinging 202.119.32.7 (www.nju.edu.cn) 
No response from 202.119.32.7 

No response from 202.119.32.7 

No response from 202.119.32.7 


ICMP Traceroute to 202.119.32.7 (www.nju.edu.cn) 


图 2-10 查找 主机 IP 或 Ping 目标 主机 等 


ES | ZSUURGISSOE SSAA] IA "imio: EXIxT | | 
主机 名 NP/URU202 119. 40. 13T ESO] 
pa 


CEEE] | [NetBIOS information on 202.119.40.137 

Actenpting a NULL session connection on 202.119. 40.137 
Ese |MAC addresses on 202.119.40.137 

Workstation/server type on 202.119.40.137 

Account Policies 

回 nomsins Users on 202.119.40.137 


Groups on 202.119.40.137 


Savi ces RPC endpoints on 202.119.40.137 


2-11 对 目标 主机 各 种 信息 进行 枚 举 


任务 2-3 口令 破解 演示 实验 


本 实验 旨 在 掌握 账号 口令 破解 技术 的 基本 原理 、 常 用 方法 及 相关 工具 ,并 在 此 基础 上 
掌握 如 何 有 效 防范 类 似 攻击 的 方法 和 措施 。 

口令 也 称 通行 字 (password) ,应 该 说 是 保护 计算 机 和 域 系 统 的 第 一 道 防护 门 ,如 果 口 
令 被 破解 了 ,那么 用 户 的 操作 权 和 信息 将 很 容易 被 窃取 。 所 以 口令 安全 是 尤其 需要 关注 
的 内 容 。 本 实验 介绍 了 口令 破解 的 原理 和 工具 的 使 用 方法 ,可 以 用 这 些 工具 来 测试 用 户 
口令 的 强度 和 安全 性 ,以 使 用 户 选择 更 为 安全 的 口令 。 

一 般 入 侵 者 常常 采用 下 面 几 种 方法 获取 用 户 的 口令 ,包括 弱 口 令 扫 描 ,Sniffer 密码 
嗅 探 ,暴力 破解 ,打探 、 套 取 或 合成 口令 等 手段 。 
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系统 用 户 账号 口令 的 破解 主要 是 采用 基于 字符 串 匹 配 的 破解 方法 。 最 基本 的 方法 
有 两 个 : 穷 举 法 和 字典 法 。 穷 举 法 是 效率 最 低 的 办 法 ,将 字符 或 数字 按照 穷 举 的 规则 
生成 口令 字符 串 ,进行 遍历 尝试 。 在 口令 组 合 稍微 复杂 的 情况 下 , 穷 举 法 的 破解 速度 
很 低 。 字 典 法 相对 来 说 效率 较 高 , 它 用 口令 字典 中 事先 定义 的 常用 字符 去 尝试 匹配 口 
令 。 口 令 字典 是 一 个 很 大 的 文本 文件 ,可 以 自己 编辑 或 者 由 字典 工具 生成 ,里 面包 含 
了 单词 或 者 数字 的 组 合 。 如 果 口 令 是 一 个 单词 或 者 是 简单 的 数字 组 合 , 那 么 破解 者 就 
可 以 很 轻易 地 破解 。 

目前 常见 的 口令 破解 和 审核 工具 有 很 多 种 ,如 : 破解 Windows 平台 口令 的 
LophtCrack, WMICracker, SMBCracker 等 工具 ,用 于 UNIX 平台 的 有 John the Ripper 
等 工具 。 下 面 的 实验 中 ,主要 通过 介绍 LophtCrack5 和 Cain 工具 的 使 用 方法 ,了 解 用 户 
口令 的 安全 性 。 

实验 运行 环境 : 本 实验 需要 一 台 安 装 了 Windows 2000/XP 的 PC, 并 安装 了 
LophtCrack 5.02 和 Cain 密码 破解 工具 。 实 验 环境 见 图 2-12. 


实验 室内 网 环境 


192.168.20.254 


靶 机 服务 器 P3 CT 攻防 实验 服务 器 P1 
192.168.20.245 E ———— 192.168.20.248 


路 由 器 
192.168.3.254 


学 生 实验 主机 交换 机 


实验 主机 1 实验 主机 2 实验 主机 10 实验 主机 
192.168.3.3 192.168.3.4 192.168.3.108 192.168.3.150 


2-12 实验 环境 


准备 工作 : 下 载 . 解 压缩 并 安装 LC5。 首 先 运 行 lc5setup. exe, 界 面 如 图 2-13 所 示 ， 
接 下 来 一 直 单 击 Next, 青 单 击 Accept 接受 协议 。 接 下 来 进入 的 界面 如 图 2-14 所 示 ,选择 
安装 路 径 , 单 击 Next 按钮 , 即 选择 默认 的 安装 路 径 。 一 直 单 击 Next 按钮 ,之 后 安装 完成 
的 界面 如 图 2-15 所 示 , 单 击 Finish 按钮 ,完成 安装 。 
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uam 


Welcome to the InstallShield Wizard 
E^ forLC5 


The InstaiShieid Wazard(TM) will help install LCS on your 
computer. To continua, did Nest 


图 2-13 LC5 安装 向 导 界 面 


InstallShield Wizard 


Choose Destination Location 
Select loker where Setup ma instal fies F- y 
AM 
Setup wil install LCS in the following folder 


To inatal to this folder, click Next. To install to a diferent folder, click Browse and select 
rothes folder. 


图 2-14 选择 LC5 安装 路 径 


Insta heed Wizard Complete. 


The InatalSFseid Wemd has successhuly nstaled LCS. Cic 
Freh to end the wizard 


图 2-15 安装 完成 的 界面 
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一 、 填 空 题 


1. 网 络 安全 的 特征 有 

2. 网 络 安全 的 结构 层次 包括 

3. 网 络 安全 面临 的 主要 威胁 有 s š 
4. 计算 机 安全 的 主要 目标 是 保护 计算 机 资源 免 遭 


5. 就 计算 机 安全 级 别 而 言 ,能够 达到 C2 级 的 常见 操作 系统 有 
6. 一 个 用 户 的 账号 文件 主要 包括 

7. 数据 库 系统 安全 特性 包括 
8. 数据 库 安 全 的 威胁 主要 有 
9. 数据 库 中 采用 的 安全 技术 有 
10. 计算 机 病毒 可 分 为 


等 几 类 。 

二 、 选 择 题 
1. 对 网 络 系统 中 的 信息 进行 更 改 、 插 入 、 删 除 属于 ( J 

A. 系统 缺陷 B. 主动 攻击 C. 漏洞 威胁 D. 被 动 攻击 
2; € ) 是 指 在 保证 数据 完整 性 的 同时 ,还 要 使 其 能 被 正常 利用 和 操作 。 

A. 可 靠 性 B. 可 用 性 C. 完整 性 D. 保密 性 
Sg ) 是 指 保证 系统 中 的 数据 不 被 无 关 人 员 识 别 。 

A. 可 靠 性 B. 可 用 性 C. 完整 性 D. 保密 性 
4. 在 关闭 数据 库 的 状态 下 进行 数据 库 完 全 备份 叫 作 ( Na 

A. 热 备 份 B. 冷 备份 C. 人 逻辑 备份 D. 差分 备份 
5. 下 面 ( ) 攻 击 是 被 动 攻击 。 

A. 假冒 B. 搭 线 窃听 C. 自 改 信息 D. 重 放 信息 
6. AES 是 ( ds 

A. 不 对 称 加 密 算 法 B. 消息 摘要 算法 

C. 对 称 加密 算 法 D. 流 密码 算法 


7. 在 加 密 时 将 明文 的 每 个 或 每 组 字符 由 另 一 个 或 男 一 组 字符 所 代替 ,这 种 密码 叫 作 
C )。 
A. 移 位 密码 B. 替代 密码 C. 分 组 密码 D. 序列 密码 
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8. DES 算法 一 次 可 用 56 位 密 钥 把 ( ) 位 明文 加 密 。 


A. 32 B. 48 C. 64 D. 128 
9. € ) 是 典型 的 公 钥 密码 算法 。 

A. DES B. IDEA C. MD5 D. RSA 
10. € ) 是 消息 认证 算法 。 

A. DES B. IDEA C. MD5 D. RSA 
三 、 简 答题 


1. 简 述 ARP 欺骗 的 实现 原理 及 主要 防范 方法 。 
2. 简 述 L2TP 协议 操作 过 程 。 

3. 网 络 安全 主要 有 哪些 关键 技术 ? 

4. 访问 控制 的 含义 是 什么 ? 
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31 项 目 导 入 


社交 网 络 和 Web 2.0 应 用 程序 逐渐 在 企业 内 部 普及 ,这 是 因为 基于 Web 的 工具 在 
组 群 间 建 立 连接 并 消除 物理 障碍 ,使 用 户 和 企业 能 够 进行 实时 通信 。 虽 然 即 时 通信 、 网 络 
会 议 . 点 对 点 文件 共享 和 社交 网 站 能 够 为 企业 提供 便利 ,但 它们 也 成 为 互联 网 威胁 、 违 反 
合 规 和 数据 丢失 的 最 新 切入 点 。 

随 着 Web 2.0、 社 交 网 络 、 微 博 等 一 系列 新 型 的 互联 网 产品 的 诞生 ,基于 Web 环境 的 
互联 网 应 用 越 来 越 广泛 ,企业 信息 化 的 过 程 中 各 种 基于 网 络 数据 库 应 用 都 架设 在 Web 平 
fi E «Web 业务 的 迅速 发 展 也 引起 黑客 们 的 强烈 关注 , 接 是 而 至 的 就 是 网 络 数据 库 安全 
威胁 的 凸显 ,黑客 利用 网 站 操作 系统 的 漏洞 和 Web 服务 程序 的 SQL 注入 漏洞 等 得 到 
Web 服务 器 的 控制 权限 , 轻 则 算 改 网 页 内 容 , 重 则 窃取 重要 内 部 数据 ,更 为 严重 的 则 是 在 
网 页 中 植 人 恶意 代码 ,使 得 网 站 访问 者 受到 侵害 。 数 据 库 系统 的 安全 特性 主要 是 针对 数 
据 而 言 的 ,包括 数据 独立 性 、 数 据 安全 性 ,数据 完整 性 、 并 发 控制 .故障 恢复 、 攻 击 防护 等 几 
个 方面 。 


32 项 目 分 析 


2011 年 ,在 政府 相关 部 门 、 互 联网 服务 机 构 、 网 络 安全 企业 和 网 民 的 共同 努力 下 ,我 
国 互联 网 网 络 安全 状况 继续 保持 平稳 状态 ,未 发 生 造成 大 范围 影响 的 重大 网 络 安 全 事件 ， 
基础 信息 网 络 防护 水 平 明显 提升 ,政府 网 站 安全 事件 显著 减少 ,网 络 安全 事件 处 理 速 度 明 
显 加快 , 但 以 用 户 信息 泄露 为 代表 的 与 网 民利 益 密切 相关 的 事件 ,引起 了 公众 对 网 络 安全 
的 广泛 关注 。 

据 CNCERT 监测 ,2011 年 中 国内 地 被 算 改 的 政府 网 站 为 2807 个 , 比 2010 年 大 幅 下 
降 39. 475; M CNCERT 专门 面向 国务 院 部 门 门户 网 站 的 安全 监测 结果 来 看 ,国务 院 部 门 
门户 网 站 存在 低级 别 安全 风险 的 比例 从 2010 年 的 60% 进 一 步 降低 为 50%。 但 从 整体 来 
看 ,2011 年 网 站 安全 情况 有 一 定 恶 化 趋势 。 在 CNCERT 接收 的 网 络 安全 事件 (不 含 漏 
洞 ) 中 ,网 站 安全 类 事件 占 到 61.7% ;境内 被 算 改 网 站 数量 为 36612 个 , 比 2010 年 增加 
5.12654—12 月 被 植 人 网 站 后 门 的 境内 网 站 为 12513 个 。CNVD 接收 的 漏洞 中 ,涉及 网 
站 相关 的 漏洞 占 22.7% , 较 2010 年 大 幅 上 升 ,排名 由 第 三 位 上 升 至 第 二 位 。 网 站 安全 问 
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题 进 一 步 引 发 网 站 用 户 信息 和 数据 的 安全 问题 。 

2011 年 底 , CSDN 天 涯 等 网 站 发 生 用 户 信 息 泄 露 事件 引起 社会 广泛 关注 ,被 公开 的 
疑似 泄露 数据 库 26 个 ,涉及 账号 .密码 信息 2. 78 亿 条 ,严重 威胁 了 互联 网 用 户 的 合法 权 
益 和 互联 网 安全 。 根 据 调查 和 研判 发 现 ,我 国 部 分 网 站 的 用 户 信 息 仍 采 用 明文 的 方式 存 
储 , 相 关 漏 洞 修补 不 及 时 ,安全 防护 水 平 较 低 。 

2011 年 ,CNCERT 抽样 监测 发 现 ,境外 有 近 4. 7 万 个 IP 地 址 作为 木马 或 僵尸 网 络 
控制 服务 器 参与 控制 我 国境 内 主机 ,虽然 其 数量 比 2010 年 的 22. 1 万 大 幅 降低 ,但 其 控制 
的 境内 主机 数量 却 由 2010 年 的 近 500 万 增加 至 近 890 万 ,呈现 大 规模 化 趋势 。 在 网 站 安 
全 方面 ,境外 黑客 对 境内 1116 个 网 站 实施 了 网 页 自 改 ;境外 1185 个 IP 通过 植 入 后门 对 
境内 10593 个 网 站 实施 远程 控制 ;仿冒 境内 银行 网 站 的 服务 器 IP 有 95. 8% 位 于 境外 ,其 
中 美国 仍然 排名 首位 一 一 共有 48 个 IPC 72. 140 DRE T BE VI 2943 个 银行 网 站 的 站 点 ， 
中 国 香港 ( 占 17.8%) 和 韩国 ( 占 2.7%) 分 列 第 二 ,三 位 。 总 体 来 看 ,2011 年 位 于 美国 ,日 
本 和 韩国 的 恶意 TP 地 址 对 我 国 的 威胁 最 为 严重 。 


33 相关 知识 点 


3.3.1 数据 库 安全 概述 


Web 数据 库 是 数据 库 技术 与 Web 技术 的 结合 ,这 种 结合 集中 了 数据 库 技术 与 网 络 
技术 的 优点 , 既 充 分 利用 了 大 量 已 有 的 数据 库 信息 ,用 户 又 可 以 很 方便 地 在 Web 浏览 器 
上 检索 和 浏览 数据 库 的 内 容 。 但 是 Web 数据 库 置 于 网 络 环境 下 ,存在 很 大 的 安全 隐患 ， 
如 何 才能 保证 和 加 强 数据 库 的 安全 性 已 成 为 目前 必须 要 解决 的 问题 。 因 此 对 Web 数据 
库 安全 模式 的 研究 ,在 Web 的 数据 库 管理 系统 的 理论 和 实践 中 都 具有 重要 的 意义 。 

目前 很 多 业务 都 依赖 于 互联 网 ,例如 网 上 银行 .网络 购物 、 网 游 等 ,很 多 恶意 攻击 者 出 
于 不 良 的 目的 对 Web 服务 器 进行 攻击 ,想方设法 通过 各 种 手段 获取 他 人 的 个 人 账户 信息 
来 谋取 利益 。 正 是 因为 这 样 , Web 业务 平台 最 容易 遭受 攻击 。 同 时 ,对 Web 服务 器 的 攻 
击 也 可 以 说 是 形形色色 种 类 繁多 ,常见 的 有 挂 马 ` SQL 注入 、 缓 冲 区 溢出 、 嗅 探 ,利用 TIS 
等 针对 Webserver 漏洞 进行 攻击 。 

一 方面 ,由 于 TCP/IP 的 设计 没有 考虑 安全 问题 ,这 使 得 在 网 络 上 传输 的 数据 是 没有 
任何 安全 防护 的 。 攻 击 者 可 以 利用 系统 漏洞 造成 系统 进程 缓冲 区 溢出 ,攻击 者 可 能 获得 
或 者 提升 自己 在 有 漏洞 的 系统 上 的 用 户 权限 来 运行 任意 程序 ,甚至 安装 和 运行 恶意 代码 ， 
窃取 机 密 数 据 。 而 应 用 层面 的 软件 在 开发 过 程 中 也 没有 过 多 考虑 到 安全 的 问题 ,这 使 得 
程序 本 身 存在 很 多 漏洞 .诸如 缓冲 区 溢出 、SQL 注入 等 流行 的 应 用 层 攻击 ,这 些 均 属于 在 
软件 研发 过 程 中 玻 忽 了 对 安全 的 考虑 所 致 。 

另 一 方面 ,用 户 对 某 些 隐秘 的 东西 带 有 强烈 的 好 奇 心 ,一些 利用 木马 或 病毒 程序 进行 
攻击 的 攻击 者 ,往往 就 利用 了 用 户 的 这 种 好 奇 心理 ,将 木马 或 病毒 程序 捆绑 在 一 些 艳 丽 的 
图 片 . 音 视 频 及 免费 软件 等 文件 中 ,然后 把 这 些 文件 置 于 某 些 网 站 当中 ,再 引诱 用 户 去 单 
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击 或 下 载运 行 。 或 者 通过 电子 邮件 附件 和 QQ, MSN 等 即时 聊天 软件 ,将 这 些 捆绑 了 木 
马 或 病毒 的 文件 发 送 给 用 户 ,利用 用 户 的 好 奇 心理 引诱 用 户 打开 或 运行 这 些 文件 。 

下 面 是 常见 的 几 种 攻击 方式 。 

(D SQL 注入 : 即 通过 把 SQL 命令 插入 到 Web 表单 递交 或 输入 域名 或 页 面 请 求 的 
查询 字符 串 ,最 终 达到 欺骗 服务 器 并 执行 恶意 的 SQL 命令 ,比如 以 前 的 很 多 影视 网 站 汇 
露 VIP 会 员 密码 大 多 就 是 通过 Web 表单 递交 查询 字符 泄 出 的 ,这 类 表单 特别 容易 受到 
SQL 注入 式 攻击 。 

(2) 跨 站 脚本 攻击 (也 称 为 XSS) : 指 利用 网 站 漏洞 从 用 户 那 里 恶意 盗 取 信息 。 用 户 
在 浏览 网 站 、 使 用 即时 通信 和 软件、 甚至 在 阅读 电子 邮件 时 ,通常 会 单 击 其 中 的 链接 。 攻 击 
者 通过 在 链接 中 插入 恶意 代码 ,就 能 够 资 取 用 户 信息 。 

(3) 网 页 挂 马 : 把 一 个 木马 程序 上 传 到 一 个 网 站 里 面 ,然后 用 木马 生成 器 生成 一 个 
网 页 挂 马 , 上 传 到 空间 里 面 , 再 加 代码 使 得 木马 在 打开 的 网 页 里 运行 。 


3.3.2 数据 库 的 数据 安全 


数据 库 在 各 种 信息 系统 中 得 到 广泛 的 应 用 ,数据 在 信息 系统 中 的 价值 越 来 越 重要 , 数 
据 库 系 统 的 安全 与 保护 成 为 一 个 越 来 越 值得 重点 关注 的 方面 。 

数据 库 系统 中 的 数据 由 DBMS 统一 管理 与 控制 ,为 了 保证 数据 库 中 数据 的 安全 、 完 
整 和 正确 有 效 ,要求 对 数据 库 实施 保护 ,使 其 免 受 某 些 因 素 对 其 中 数据 造成 的 破坏 。 


1. 数据 库 安全 问题 的 产生 


数据 库 的 安全 性 是 指 在 信息 系统 的 不 同 层次 保护 数据 库 , 防 止 未 授权 的 数据 访问 , 避 
免 数 据 的 泄露 \ 不 合法 的 修改 或 对 数据 的 破坏 。 安 全 性 问题 不 是 数据 库 系统 所 独 有 的 , 它 
来 自 各 个 方面 ,其 中 既 有 数据 库 本 身 的 安全 机 制 ,如 用 户 认 证 、 存 取 权 限 、 视 图 隔离 、 跟 踪 
与 审查 ,数据 加 密 、 数 据 完整 性 控制 ,数据 访问 的 并 发 控制 ,数据 库 的 备份 和 恢复 等 方面 ， 
也 涉及 计算 机 硬件 系统 计算 机 网 络 系统 、 操 作 系 统 、 组 件 、Web 服务 、 客 户 端 应 用 程序 、 
网 络 浏览 器 等 。 只 是 在 数据 库 系 统 中 大 量 数据 集中 存放 ,而 且 为 许多 最 终 用 户 直接 共享 ， 
从 而 使 安全 性 问题 更 为 突出 ,每 一 个 方面 产生 的 安全 问题 都 可 能 导致 数据 库 数 据 的 泄露 、 
意外 修改 、 丢 失 等 后 果 。 

例如 ,操作 系统 漏洞 导致 数据 库 数据 泄露 。 微 软 公司 发 布 的 安全 公告 声明 了 一 个 缓 
冲 区 溢出 漏洞 (http://www. microsoft. com/china/security), Windows NT, Windows 
2000, Windows 2003 等 操作 系统 都 受到 影响 。 有 人 和 针对 该 漏洞 开发 出 了 溢出 程序 ,通过 
计算 机 网 络 可 以 对 存在 该 漏洞 的 计算 机 进行 攻击 ,并 得 到 操作 系统 管理 员 权限 。 如 果 该 
计算 机 运行 了 数据 库 系 统 , 则 可 轻易 获取 数据 库 系统 数据 。 特别 是 Microsoft SQL 
Server 的 用 户 认证 是 和 Windows 集成 的 ,更 容易 导致 数据 泄漏 或 更 严重 的 问题 。 

又 如 ,没有 进行 有 效 的 用 户 权 限 控 制 引 起 的 数据 泄露 。Browser/Server 结构 的 网 络 
环境 下 数据 库 或 其 他 的 两 层 或 三 层 结 构 的 数据 库 应 用 系统 中 ,一 些 客户 端 应 用 程序 总 是 
使 用 数据 库 管理 员 权 限 与 数据 库 服务 器 进行 连接 (如 Microsoft SQL Server 的 管理 员 
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SA) ,在 客户 端 功 能 控制 不 合理 的 情况 下 ,可 能 使 操作 人 员 访 问 到 超出 其 访问 权限 的 
数据 。 

一 般 来 说 ,对 数据 库 的 破坏 来 自 以 下 4 个 方面 。 

(1) 非法 用 户 

非法 用 户 是 指 那些 未 经 授权 而 恶意 访问 、 修 改 甚 至 破坏 数据 库 的 用 户 , 包 括 那些 超越 
权限 来 访问 数据 库 的 用 户 。 一 般 来 说 ,非法 用 户 对 数据 库 的 危害 是 相当 严重 的 。 

(2) 非法 数据 

非法 数据 是 指 那些 不 符合 规定 或 语义 要 求 的 数据 ,一 般 由 用 户 的 误 操 作 引起 。 

(3) 各 种 故障 

各 种 故障 指 的 是 各 种 硬件 故障 (如 磁盘 介质 ) 、 系 统 软 件 与 应 用 软件 的 错误 、 用 户 的 失 

(4) 多 用 户 的 并 发 访问 

数据 库 是 共享 资源 ,允许 多 个 用 户 并 发 访问 (Concurrent Access) ,由 此 会 出 现 多 个 用 
户 同时 存 取 同 一 个 数据 的 情况 。 如 果 对 这 种 并 发 访问 不 加 控制 ,各 个 用 户 就 可 能 存 取 到 
不 正确 的 数据 ,从 而 破坏 数据 库 的 一 致 性 。 


2. 数据 库 安全 防范 


为 了 保护 数据 库 , 防 止 恶意 的 滥用 ,可 以 在 从 低 到 高 的 五 个 级 别 上 设置 各 种 安全 
措施 。 
CD 环境 级 : 计算 机 系统 的 机 房 和 设备 应 加 以 保护 ,防止 有 人 进行 物理 破坏 。 

(2) 职员 级 : 工作 人 员 应 清正 廉洁 ,正确 授予 用 户 访 问 数据 库 的 权限 。 

(3) OS 级 : 应 防止 未 经 授权 的 用 户 从 OS 处 着 手 访问 数据 库 。 

(4) 网 络 级 : 由 于 大 多 数 DBS 都 允许 用 户 通过 网 络 进行 远程 访问 ,因此 网 络 软 件 内 
部 的 安全 性 至 关 重 要 。 

(5) DBS 级 : DBS 的 职责 是 检查 用 户 的 身份 是 否 合法 及 使 用 数据 库 的 权限 是 否 正 
确 。 在 安全 问题 上 ,DBMS 应 与 操作 系统 达到 某 种 意向 ,厘清 关系 ,分 工 协作 ,以 加 强 
DBMS 的 安全 性 。 数 据 库 系统 安全 保护 措施 是 否 有 效 是 数据 库 系统 的 主要 指标 之 一 。 

针对 数据 库 破 坏 的 可 能 情况 ,数据 库 管 理 系 统 (DBMS) 核 心 已 采取 相应 措施 对 数据 
库 实施 保护 ,具体 如 下 : 数据 独立 性 ,数据 安全 性 ,数据 完整 性 、 并 发 控制 .故障 恢复 、 攻 击 
防护 。 

(1) 利用 权限 机 制 ,只 允许 有 合法 权限 的 用 户 存 取 所 允许 的 数据 。 

(2) 利用 完整 性 约 东 ,防止 非法 数据 进入 数据 库 。 

(3) 提供 故障 恢复 能 力 ,以 保证 各 种 故障 发 生 后 ,能 将 数据 库 中 的 数据 从 错误 状态 恢 
复 到 一 致 状态 。 

(4) 提供 并 发 控制 机 制 ,控制 多 个 用 户 对 同一 数据 的 并 发 操作 ,以 保证 多 个 用 户 并 发 
访问 的 顺利 进行 。 
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3. 数据 库 的 安全 标准 


目前 ,国际 上 及 我 国 均 颁布 了 有 关 数 据 库 安全 的 等 级 标准 。 最 早 的 标准 是 美国 国防 
部 (DOD) 1985 年 颁布 的 《可 信 计 算 机 系统 评估 标准 》(Computer System. Evaluation 
Criteria，TCSEC) 。1991 年 美国 国家 计算 机 安全 中 心 (NCSC) 颁 布 了 《可 信 计 算 机 系统 
评估 标准 关于 可 信和 数据 库 系统 的 解释 》(Trusted Database. Interpretation , TDI) , 44 
TCSEC 扩展 到 数据 库 管 理 系 统 。1996 年 国际 标准 化 组 织 ISO 又 颁布 了 《信息 技术 安全 
技术 一 一 信息 技术 安全 性 评估 准则 》(Information Technology Security Techniques — 
Evaluation Criteria For It Security)。 我 国政 府 于 1999 年 颁布 了 《计算 机 信息 系统 评估 
准则 》。 目 前 国际 上 广泛 采用 的 是 美国 标准 TCSECCTDD ,在 此 标准 中 将 数据 库 安全 划 
分 为 4 大 类 ,由 低 到 高 依次 为 D.C、B、A。 其 中 C 级 由 低 到 高 分 为 Cl 和 C2. B 级 由 低 到 
高 分 为 B1.B2 和 B3。 每 级 都 包括 其 下 级 的 所 有 特性 ,各 级 指标 如 下 。 

COD D 级 标准 : 为 无 安全 保护 的 系统 。 

(2) C1l 级 标准 : 只 提供 非常 初级 的 自主 安全 保护 。 能 实现 对 用 户 和 数据 的 分 离 , 进 
行 自主 存 取 控制 (DAC) ,保护 或 限制 用 户 权限 的 传播 。 

G) C2 级 标准 : 提供 受 控 的 存 取 保护 ,即将 C1 级 的 DAC 进一步 细 化 ,以 个 人 身份 
注册 负责 ,并 实施 审计 和 资源 隔离 。 很 多 商业 产品 已 得 到 该 级 别 的 认证 。 

(4) Bl 级 标准 : 标记 安全 保护 。 对 系统 的 数据 加 以 标记 ,并 对 标记 的 主体 和 客体 实 
施 强 制 存 取 控制 (MAC) 以 及 审计 等 安全 机 制 。 

一 个 数据 库 系统 凡 符合 Bl 级 标准 者 称 为 安全 数据 库 系统 或 可 信和 数据 库 系统 。 

(5) B2 级 标准 : 结构 化 保护 。 建 立 形式 化 的 安全 策略 模型 并 对 系统 内 的 所 有 主体 和 
客体 实施 DAC 和 MAC, 

(6) B3 级 标准 : 安全 域 。 满 足 访问 监控 器 的 要 求 , 审 计 跟 踪 能 力 更 强 , 并 提供 系统 恢 
复 过 程 。 

(7) A 级 标准 : 验证 设计 , 即 提供 B3 级 保护 的 同时 给 出 系统 的 形式 化 设计 说 明和 验 
证 ,以 确信 各 安全 保护 真正 实现 。 

我 国 的 国家 标准 的 基本 结构 与 TCSEC 相似 。 我 国标 准 分 为 5 级 ,从 第 1 级 到 第 
5 级 依次 与 TCSEC 标准 的 C 级 (C1、C2) 及 B 级 (Bl1、B2、B3) 一 致 。 


34 项 目 实 施 


任务 3-1 数据 库 备份 与 恢复 实 训 


备份 是 指 将 数据 库 复 制 到 一 个 专门 的 备份 服务 器 、 活 动 磁盘 或 者 其 他 能 足够 长 期 存 
储 数据 的 介质 上 作为 副本 。 一 旦 数据 库 因 意 外 而 遭 损 坏 ,这些 备 份 可 用 来 还 原 数 据 库 。 
第 1 步 : 数据 备份 
D 打开 企业 管理 器 ,展开 服务 器 ,选中 指定 的 数据 库 。 
56 


项 目 3 网 络 数据 库 安 全 


(2) 打开 企业 管理 器 ,展开 “SQL Server 组 ”一 (LOCAL) 一 数据库?, 右 击 指定 备份 
的 数据 库 , 单 击 * 所 有 任务 "“ 备 份 数据 库 ” 命 令 , 则 弹出 “SQL Server 备份 -教学 成 绩 管理 
数据 库 ” 对 话 框 ,如 图 3-1 所 示 。 


EE 


ET 


图 3-1 数据 备份 


(3) 单 击 “ 添 加 ”按钮 ,弹出 “选择 备份 目的 ”对 话 框 ,在 “文件 名 ”文本 框 中 输入 备份 路 
径 , 单 击 “ 确 定 ” 按 钮 完成 添加 。 

OD 在 “备份 ”选项 组 中 选择 “数据 库 -完全 ” 单 选 按 钮 ,在 “ 重 写 " 选 项 组 中 选择 “追加 
到 媒体 ” 单 选 按钮 ,将 新 的 备份 添加 到 备份 设备 中 ,也 可 以 选择 “ 重 写 现 有 媒体 ” 单 选 按 钮 
用 新 的 备份 来 覆盖 原来 的 备份 。 

(5) 单 击 “ 确 定 ” 按 钮 开始 备份 ,完成 数据 库 备份 后 弹出 提示 对 话 框 。 

数据 库 备份 后 ,一旦 数据 库 发 生 故 障 , 就 可 以 将 数据 库 备份 加 载 到 系统 ,使 数据 库 还 
原 到 备份 时 的 状态 。 还 原 是 与 备份 相对 应 的 数据 库 管 理工 作 , 系 统 进行 数据 库 还 原 的 过 
程 中 自动 执行 安全 性 检查 ,然后 根据 数据 库 备份 自动 创建 数据 库 结 构 ,并且 还 原 数 据 库 中 
的 数据 。 

第 2 步 : 恢复 备份 

(1) 打开 企业 管理 器 ,展开 “SQL Server 组 ”>(LOCAL), 右 击 “ 数 据 库 ”, 单 击 “ 所 有 
任务 ”>“ 还 原 数据 库 ” 命 令 , 弹 出 “还 原 数据 库 ” 对 话 框 ,如 图 3-2 所 示 , 在 “还 原 为 数据 库 ” 
列表 框 中 选择 指定 还 原 数 据 库 ( 若 数据 库 名 称 要 用 新 名 称 , 在 “还 原 为 数据 库 ” 列 表 框 中 可 
输入 新 数据 库 名 称 ) ,然后 选中 “从 设备 ” 单 选 按钮 , 单 击 “ 选 择 设备 ”按钮 ,弹出 “选择 还 原 
设备 ”对 话 框 ,选中 “磁盘 " 单 选 按 钮 并 单 击 “ 添 加 ”按钮 ,弹出 “编辑 还 原 目的 ”对 话 框 ,选中 
“文件 名 ” 单 选 按 钮 并 在 文本 框 中 输入 备份 路 径 和 文件 名 , 单 击 “ 确 定 ” 按 钮 完成 还 原 设置 。 

(2) 在 “选择 还 原 设备 ”对 话 框 中 单 击 “ 确 定 ” 按 钮 ,返回 “还 原 数 据 库 ” 对 话 框 ,选择 
“还 原 备 份 集 ”一 “数据 库 一 完全 ? 单 选 按钮 ,选择 “选项 ”选项 卡 ,可 选择 “在 现 有 数据 库 上 
强制 还 原 ” 等 内 容 , 还 可 设置 “将 数据 库 文件 还 原 为 ”的 逻辑 文件 名 和 物理 文件 名 , 单 击 “ 确 
定 ” 按 钮 开始 还 原 , 还 原 完成 后 弹出 完成 提示 框 。 
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图 3-2 数据 恢复 


任务 3-2 SQL Server 攻击 的 防护 


第 1 步 : 启动 Microsoft SQL Server Management Studio ,如 图 3-2 所 示 ,在 “对 象 资 
源 管理 器 "窗口 中 选择 ZTG2003 一 “安全 性 ”一 “登录 名 ”选项 。 在 右 侧 窗口 里 双击 sa, 弹 


出 “登录 属性 -sa” 对 话 框 ,如 图 3-3 所 示 。 


mum dE WA 
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图 3-3 Microsoft SQL Server Management Studio 


第 2 步 : 在 图 3-4 中 ,选择 “强制 实施 密码 策略 " 复 选 框 ,对 sa 用 户 进 行 最 强 的 保护 ， 


另外 ,密码 的 设置 也 要 足够 复杂 。 


第 3 步 : 在 SQL Server 2005 中 有 Windows 身份 认证 和 混合 身份 认证 。 如 果 不 希 望 
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图 3-4 “登录 属性 -sa” 对 话 框 


系统 管理 员 登 录 数 据 库 ,可 以 把 系统 账号 BUILTIN\Administrators 删除 或 禁止 。 在 
图 3-3 中 , 右 击 BUILTIN \ Administrators 账号 ,选择 “属性 ”命令 ,弹出 “登录 属性 - 
BUILTIN\ Administrators” X} WHE , W0 PE 3-5 所 示 , 单 击 左 侧 窗 格 中 的 “状态 ”, 在 右 侧 窗 
格 中 ,把 “是 否 允许 连接 到 数据 库 引 擎 ” 改 为 “拒绝 ”“ 登 录 ” 改 为 禁用” 即 可 。 


图 3-5 “登录 属性 -BUILTIN\Administrators” 对 话 框 
第 4 步 : 使 用 IPSec 策略 阻止 所 有 访问 本 机 的 TCP1433, 也 可 以 对 TCP1433 端口 进 
行 修改 ,不 过 在 SQL Server 2005 中 ,可 以 使 用 TCP 动态 端口 启动 SQL Server 
Configuration Manager, 如 图 3-6 所 示 , 右 击 TCP/IP, 选 择 “ 属 性 ”命令 ,弹出 “TCP/IP 属 
性 ”对 话 框 ,如 图 3-5 所 示 。 


Ei SQL Server Configuration Wanager 
文件 中 MEAD SEV 帮助 0 
e» orele 

SQL Server 配置 管理 器 (本地 ) 


SQL Server 2005 服务 
E.g SQL Server 2005 网 络 配置 


NSSQLSERVER 
EB SQL Native Client 配置 

客户 端 协 议 

别名 


图 3-6 SQL Server Configuration Manager 


在 图 3-7 中 ,在 IPALL 选项 区 中 的 “TCP 动态 端口 ” 右 侧 输入 0。 配置 为 监听 动态 端 


口 ,在 启动 时 会 检查 操作 系统 中 的 可 用 端口 并 且 从 中 选择 一 个 。 
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如 图 3-8 所 示 ,可 以 指定 SQL Server 是 否 监 听 所 有 绑 定 到 计算 机 网 卡 的 IP 地 址 。 
如 果 设 置 为 “是 ”, 则 图 3-7 中 IPALL 选项 区 的 设置 将 应 用 于 所 有 IP 地 址 ; 如果 设 置 为 
“ 否 ”, 则 使 用 每 个 IP 地 址 各 自 的 属性 对 话 框 对 各 个 IP 地 址 进行 配置 。 默 认 值 为 “是 ”。 


IP 地 址 192. 168. 10. 2 
TCP 动态 端口 
TCP *n 1433 
活动 R 
BBA z 
IB Ir3 
IP éh 127.0.0.1 
TCP 动态 端口 
TCP n 1433 
活动 R 
gem z 
E rper 
CE 
TCP "D 1433 六 


[Cem ] x» | emo | ww | 


[ws] | maw | ww | 
图 3-7 “TCP/IP 属性 ”对 话 框 图 3-8 监听 设置 


第 5 步 : 删除 不 必要 的 扩展 存储 过 程 ( 或 存储 过 程 ) 。 

因为 有 些 存 储 过 程 能 够 很 容易 地 被 人 侵 者 利用 来 提升 权限 或 进行 破坏 ,所 以 需要 将 
必要 的 存储 过 程 或 扩展 存储 过 程 删除 。 

xp_cmdshell 是 一 个 很 危险 的 扩展 存储 过 程 ,如 果 不 需 要 xp_cmdshell, 那 么 最 好 将 
它 删除 。 删 除 的 方法 如 图 3-9 所 示 。 
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图 3-9 删除 扩展 存储 过 程 


下 面 给 出 了 可 以 考虑 删除 的 扩展 存储 过 程 ( 或 存储 过 程 ), 仅 供 参 考 ; xp _ 
regaddmultistring,xp_regdeletekey, xp_regdetetevalue, xp_regenumkeys, xp_cmdshell、 
xp dirtree,xp fileexist, xp_getnetname, xp_terminate_process, xp_regenumvalues, xp_ 
regread,xp regwrite,xp readwebtask,xp makewebtask,xp regremovemultistring, 

OLE 自动 存储 过 程 : sp | OACreate, sp. OADestroy, sp _ OAGetErrorInfo, sp _ 
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OAGetProperty,sp OAMethod sp_OASetProperty、sp_OAStop。 

访问 注册 表 的 存储 过 程 : xp — regaddmultistring, xp _ regdeletekey, xp _ 
regdeletevalue, xp regenumvalues,xp regread,xp regremovemultistring,xp regwrite, 

sp makewebtask,sp add job.sp addtask,.sp addextendedproc 等 。 

第 6 步 : 在 图 3-9 中 , 右 击 ZTG2003( 位 于 图 的 左上 角 ) ,选择 “属性 ”命令 ,弹出 “服务 
器 属性 -ZTG2003” 对 话 框 ,如 图 3-10 中 , 单 击 左 侧 窗 格 中 的 “安全 性 ”, 在 右 侧 窗 格 中 选择 
“登录 审核 ”中 的 “失败 和 成 功 的 登录 ”, 再 选择 “启用 C2 审核 跟踪 ? 复 选 框 。C2 是 一 个 政 
府 安全 等 级 , 它 确 保 系 统 能 够 保护 资源 并 且 具 有 足够 的 审核 能 力 。C2 允许 监视 对 所 有 数 
据 库 实体 的 所 有 访问 企图 。 


图 3-10 “服务 器 属性 -ZTG2003” 对 话 框 


任务 3-3 ”数据库 安全 检测 工具 的 使 用 


企业 用 户 一 般 采 用 防火 墙 作为 安全 保障 体系 的 第 一 道 防线 ,但 是 现实 中 存在 这 样 那 
样 的 问题 ,由 此 产生 了 WAF (Web 应 用 防护 系统 )。Web 应 用 防护 系统 (Web 
Application Firewall) 代 表 了 一 类 新 兴 的 信息 安全 技术 ,用 以 解决 诸如 防火 墙 一 类 传统 设 
备 束手无策 的 Web 应 用 安全 问题 。 与 传统 防火 墙 不 同 , WAF 工作 在 应 用 层 , 因 此 对 
Web 应 用 防护 具有 先天 的 技术 优势 。 基 于 对 Web 应 用 业务 和 逻辑 的 深刻 理解 ,WAF 对 
来 自 Web 应 用 程序 客户 端的 各 类 请 求 进行 内 容 检 测 和 验证 ,确保 其 安全 性 与 合法 性 ,对 
非法 的 请 求 予 以 实时 阻 断 , 从 而 对 各 类 网 站 站 点 进行 有 效 防护 。 

58 135. 构建 如 图 3-11 网 络 架 构 , 在 PC2 上 搭建 Web 网 站 ,在 PCI. 上 使 用 浏览 器 访 
问 PC2 上 的 网 站 ,可 以 正常 访问 。 

第 2 步 : 登录 WAF, 左 侧 功能 树 中 选择 “检测 ”一 “漏洞 扫描 ”扫描 管理 ”, 右 侧 窗 
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格 中 选择 “新 建 ", 如 图 3-12 所 示 。 


WAF 
m; -e a 
PCI p PC2 
192.168.1.1/24 WAF 192.168.1.3/24 
192.168.1.2/24 


图 3-11 WAF 透明 部 署 模式 


admin. le 注销 
WRHnETS SMER 10v). BT L/OTT | | 
set. 
[T BEBE: ES 
BS AR ssk asan EI aama snte 的 作 
TUE 
xit D 上 st 


图 3-12 新 建 扫描 管理 


单 击 “ 新 建 "图 标 后 的 显示 如 图 3-13 所 示 。 输 入 任务 名 称 、 扫 描 目 标 即 网 站 地 址 , 执 
行 方式 选择 立即 执行 ,扫描 内 容 全 选 。 


MP WREHS HS 
任务 名 称 : scan web 
任务 添加 方式 : 回 单 任务 〇 批量 任务 
RËRE: 192.168.1.2:80 
执行 方式 : 加 立即 执行 Ofxnuc OMAT 


Eam Tsor 回 换 作 系统 命令 [VISUM 
回 认证 不 充分 回 拒绝 服务 


图 3-13 ”新建 扫描 任务 


扫描 内 容 : 


再 次 单 击 “ 新 建 " 后 ,完成 一 条 网 站 漏洞 扫描 任务 的 添加 ,如 图 3-14 所 示 。 


WRHESS WWE 10v BENIN [1127] 
sen... 

任务 名 称 : BËRE: 8 

序号 选择 任务 名 称 任务 类 型 HER 执行 时 间 当前 状态 操作 


1  [] scan web ”立即 执行 192.168.1.2:80 2011-09-14 17:42:35 未 执行 Go 


EJ 53 


图 3-14 添加 扫描 任务 
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第 3 步 : 一 段 时 间 后 ,显示 如 图 3-15 所 示 状 态 ,表示 扫描 完成 。 


GUHHESUE GENERE, 当前 第 II IT T] 
Gas. 

任务 名 称 : 扫描 目标 : EN 

序号 选择 任务 名 称 任务 类 型 ”扫描 目标 执行 时 间 当前 状态 。 操作 


i E scan web ”立即 执行 ”192.168.1.2:80 — 2011-00-14 17:44:49 i34 — GO d 


iik D] BRAGA. 


335 ”完成 扫描 任务 


此 次 扫描 完成 后 ,网 站 若是 更 新 了 ,只 要 地 址 没有 变化 ,就 可 以 再 次 进行 漏洞 扫描 。 
单 击 操作 列 中 的 “齿轮 ?按钮 ,可 再 次 进行 漏洞 扫描 。 

第 4 步 : 扫描 完成 后 ,选择 “日 志 ” 一 “漏洞 扫描 日 志 ”, 查 看 漏洞 扫描 结果 ,如 图 3-16 
所 示 。 我 们 看 到 有 7 个 漏洞 , 单 击 操作 列 中 的 “详细 ”按钮 ,可 以 查看 详细 信息 ,如 图 3-17 
所 示 。 


让 点 访问 日 去 
Lr 
ASAS 
EPREFAE 


图 3-16 漏洞 扫描 结果 


第 5 步 : 查看 漏洞 详细 信息 并 进行 相应 的 网 站 配置 修正 。 现 查看 第 二 条 ,漏洞 级 别 
为 “ 低 ”,“ 漏 洞 类 型 ?为 “信息 泄露 >“ 漏洞 URL? 为 “/phpmyadmin/”, 单 击 后 面 的 “详细 ”， 
如 图 3-18 所 示 。 漏 洞 的 详细 描述 会 显示 出 来 。 再 看 一 下 网 站 下 的 /phpmyadmin/ 目 录 ， 
我 们 就 可 以 这 样 理解 : /phpmyadmin/ 目 录 是 网 站 数据 库 Web 管理 的 主 目录 ,而 这 个 目 
录 是 允许 互联 网 上 的 用 户 访问 的 ,那么 这 样 就 有 可 能 泄露 网 站 架构 等 关键 信息 ,并 有 可 能 
造成 严重 的 Web 攻击 。 


任务 3-4 SQL 注入 攻击 


SQL 注入 攻击 中 ,需要 用 到 wed. exe 和 wis. exe 两 个 工具 ,其 中 wis. exe 是 用 来 扫描 
某 个 站 点 中 是 否 存在 SQL 注入 漏洞 的 ;wed. exe 是 用 来 破解 SQL 注入 用 户 名 和 密码 的 。 
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RAIES 
时 间 。 2011-09-14 17:44:50 任务 篇 号。 1001 扫描 目标 192.168.12:80 网 站 链 按 。 http: 192.168.12:80 
E MEET 

5s PEU» sran Baw um 
1 S% GAHERBIGEAH hm zum 
2 E ROMRAK GRE hpa cum 
3 95 — GEEERE:RBEER panni LE] 
m REESE IGRAME phoiraimn xum 
5 o% &BSRAE GRE repo LE] 
5 $% — GAUETE:GBAM nixpw?-^H^DODS2AD3CS2 14394 C7DOCIO000 AM 
Tog REM GRAND nderpre ™zPHEBSASFIAD-3C92-1 103A3AB-ACTROSCIOODO SHR 


Srat Ek snmh nbh 


nem sme 
PRS: wentis 
Gun: RESEAS:GBUm 


amog: VSRERLT TERREA, BIRCONSI, BIETHTTSRREMISLANE, f 
AUNIDUSWISRB. SEOREEUSSERUDED GE , IXENR PAYS. 
LES 


DI 


MODE: UAQIUPERHRSSUSGR. MEPER CY RULEAONP EN. 


337 ”漏洞 详细 信息 


漏洞 信息 
FS FRAJ BRAN RURI 详细 
1 s 信息 滴 妖 类 型 : MAWE phpmyadmin 详细 
Ep 会 TREES: MBAR phpmyadmin Ez 
3 es 信息 溯 儿 类型: MAWE phpMyAdmin 详细 
4 dE "BEIM : MAWE phpMyAdmin 详细 
5 低 MAURAN: MBA (config php 详细 
6 5 MAWAN : MAWE  Andexphp?-PHPBBBSF2AD-3C92-1143-A3A9-4C7B08C10000 AA 
7 低 信息 泄 辟 类 型 : (MAWE —ndexphp?-PHPBGBSF2A0-3C92-1143-A3A9-4C7B08C10000. 详细 
sner 10 SR o sip TE Hood 
漏洞 详细 信息 
项 目 名 称 详细 说明 
中 文 名 称 ; BESZESRB 
Gub: 信息 神思 类型 : RB 
漏洞 描述 : 可 能 会 收集 有 关 Web 应 用 程序 的 惑 二 TUBE YET UE 
impe: 无 
发 现时 间 : 1994-01-01 
NADE: Web 服务 器 或 应 用 程序 服务 器 是 以 不 安全 的 方式 也 置 的 


图 3-18 漏洞 描述 


两 个 工具 结合 起 来 ,就 可 以 完成 从 寻找 注入 点 到 实施 注入 攻击 完成 的 整个 过 程 。 

第 1 步 : 寻找 注入 点 

使 用 wis. exe 寻找 注入 漏洞 .其 使 用 格式 如 下 :“wis 网 址 ”。 

这 里 以 检测 某 个 站 点 为 例 进行 说 明 : 首先 打开 命令 提示 窗口 ,输入 如 下 命令 :“wis 
http://www. xxx. com. cn/”, 如 图 3-19 所 示 。 
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命令 输入 结束 后 , 按 Enter 键 , 即 可 开始 扫描 。 

注意 : 在 输入 网 址 时 ,前 面 的 http:// 和 最 后 面 的 /是 必 不 可 少 的 ,否则 将 会 提示 无 法 
进行 扫描 。 

扫描 结束 后 ,可 以 看 到 网 站 上 存在 SQL 注入 攻击 漏洞 ,如 图 3-20 所 示 ,选择 /xygk. 
asp? typeid 一 34 必 bigclassid 一 98 来 做 下 面 的 破解 用 户 名 和 密码 实验 。 此 时 ,可 以 打开 
IE 浏 览 器 , 在 地 址 栏 中 输入 http://www. xxx. com. cn/xygk. asp? typeid = 
34&.bigclassid 二 98, 打 开 网 站 页 面 ,查看 网 页 的 信息 ,该 页 为 学 院 简 介 页 。 


adnin/adnin/manage .asp 

admin/a m 
p 
p 


Documents and Settings Administrator>c 
Documents and Settingsycd 


http://172.16.10.100 


图 3-19 扫描 漏洞 


扫描 结果 


第 2 步 : SQL 注入 破解 管 号 
使 用 wed. exe 破解 管理 员 账 号 ,其 使 用 格式 如 下 :“wed 网 址 ” 
打开 命令 提示 窗口 ,输入 uid 下 命令 
typeid — 34 &-bigclassid —98asp?2" , fk Enter 键 ,查看 运行 情况 ,如 图 3 


" wedhttp: //www. x 


com. cn/xygk. asp? 
21 所 示 。 


Starting Get Nane Field Wii 
Starting Get Length of Field “nane” #iNN 
Sot Length of Field “nane” is: 
tarting Get Password Field ##n8 
Field is "nane" 


Starting Get Length of Field “nane” nuut 


Starting Brute Field " d "nane" «f Mode) nunn 


rute Field ` SQL M nunn 


:\Documents and Settings wolf 
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从 运行 结果 可 以 看 到 ,程序 自动 打开 了 工具 包 中 的 几 个 文件 , 即 “C:\wed N 
TableName. dic" ,*C;Nwed \UserField. dic” 和 “C:\wed\PassField. dic" ,它们 分 别 是 用 来 
破解 用 户 数 据 库 中 的 字 表 名 、 用 户 名 和 用 户 密码 所 需 的 字典 文件 。 

在 破解 过 程 中 还 可 以 看 到 “SQL Injection Detected. ”的 字符 串 ,表示 程序 还 会 对 需要 
注入 破解 的 网 站 进行 一 次 检测 ,看 看 是 否 存在 SQL 注入 漏洞 ,成 功 后 才 开始 猜测 用 户 名 。 

如 果 检 测 成 功 , 很 快 就 获得 了 数据 库 表 名 admin, 然 后 得 到 用 户 表 名 和 字 长 为 
username 和 6; 再 检测 到 密码 表 名 和 字 长 为 password 和 8。 系统 继续 执行 ,“wed. exe" fe 
序 此 时 开始 了 用 户 名 和 密码 的 破解 。 很 快 就 得 到 了 用 户 名 和 密码 一 一 admina、“pbk& 
7*8r", 

$8 3 3p. 搜索 隐藏 的 管理 登录 页 面 

重新 回 到 第 一 步 最 后 打开 的 学 院 简介 网 站 页 面 中 ,准备 用 已 经 检测 到 的 管理 员 的 账 
号 和 密码 进入 管理 登录 页 面 ,但 当前 的 页 面 中 没有 管理 员 的 入 口 链接 。 

再 次 使 用 “wis. exe” 程 序 , 这 个 程序 除了 可 以 扫描 出 网 站 中 存在 的 所 有 SQL 注入 点 
外 ,还 可 以 找到 隐藏 的 管理 员 登 录 页 面 。 在 命令 窗口 中 输入 “wis http://www. xxx. 
com. cn/xygk. asp? typeid 王 34& bigclassid 一 98/a”。 

注意 : 这 里 输入 了 一 个 隐藏 的 参数 “/a”。 

如 果 出 现 扫描 不 成 功 的 情况 ,我 们 就 认为 管理 员 登 录 页 面 可 能 隐藏 在 整个 网 站 的 某 
个 路 径 下 。 于 是 输入 *wis http://www. xxx. com. cn /a” 对 整个 网 站 进行 扫描 。 应 注意 
扫描 语句 中 网 址 的 格式 。 程 序 开始 对 网 站 中 的 登录 页 面 进行 扫描 ,在 扫描 过 程 中 ,找到 的 
隐藏 登录 页 面 会 在 屏幕 上 以 红色 进行 显示 。 

查找 完毕 后 ,在 最 后 以 列表 显示 在 命令 窗口 中 。 可 以 看 到 列表 中 有 多 个 以 “/rsc/” 开 
头 的 管理 员 登 录 页 面 网 址 ,包括 “/rsc/gl/manage. asp", */rsc/gl/login. asp”、“/rsc/gl/ 
adminl. asp" 45, 任意 选 择 一 个 网 址 ,比如 在 浏览 器 中 输入 网 址 “http://www. xxx. com. 
cn/ rsc/gl/adminl. asp”, 就 会 出 现 本 来 隐藏 着 的 管理 员 登 录 页 面 。 输 入 用 户 名 和 密码 ， 
就 可 以 进入 后 台 管理 系统 ,从 而 完成 一 些小 小 的 “非法 ”操作 。 


35 拓展 提升 数据 库 安全 解决 方案 


3.5.1 SQL Server 数据 库 的 安全 保护 


微软 的 SQL Server 是 一 个 高 性 能 、 多 用 户 的 关系 型 数据 库 管理 系统 ,也 是 一 种 广泛 
使 用 的 数据 库 , 很 多 企业 内 部 信息 化 平台 等 都 是 基于 SQL Server 的 ,SQL Server 提供 了 
三 种 安全 管理 模式 , 即 标准 模式 、 集 成 模式 和 混合 模式 ,数据 库 设计 者 和 数据 库 管 理 员 可 
以 根据 实际 情况 进行 选择 。 数 据 库 系统 中 存在 的 安全 漏洞 和 不 当 的 配置 通常 会 造成 严重 
的 后 果 ,而 且 都 难以 发 现 。 下 面 介绍 SQL Server 采用 的 特定 安全 措施 。 
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l. 使 用 安全 的 密码 策略 


很 多 数据 库 账 号 的 密码 过 于 简单 ,这 跟 系统 密码 过 于 简单 是 一 个 道理 。 对 于 数据 库 
更 应 该 注意 ,同时 不 要 让 数据 库 账 号 的 密码 写 于 应 用 程序 或 者 脚本 中 。 在 安装 SQL 
Server 2000 时 ,使 用 混合 模式 输入 数据 库 的 密码 。 


2. 加 强 数 据 库 日 志 的 记录 


审核 数据 库 登 录 事 件 的 “失败 和 成 功 ”, 在 实例 属性 中 选择 “安全 性 ”, 将 其 中 的 审核 级 别 
选 定 为 “全 部 ”, 这 样 在 数据 库 系统 和 操作 系统 日 志 里 面 就 详细 记录 了 所 有 账号 的 登录 事件 。 


3. 改 默 认 端 口 

在 默认 情况 下 ,SQL Server 使 用 1433 端口 监听 ,1433 端口 的 被 扫描 率 是 非常 高 的 ， 
将 TCP/IP 使 用 的 默认 端口 变 为 其 他 端口 ,并 拒绝 数据 库 端口 的 UDP 通信 。 

4. 对 数据 库 的 网 络 连接 进行 IP 限制 


使 用 Windows SQL Server 2003 提供 的 IPSEC 可 以 实现 IP 数据 包 的 安全 性 ,对 IP 
连接 进行 限制 ,只 保证 授权 的 TP 能 够 访问 ,同时 拒绝 其 他 IP 的 端口 连接 ,并 对 安全 威胁 
进行 有 效 的 控制 。 


5. 程序 补丁 
经 常 访问 微软 的 安全 网 站 ,一旦 发 现 SQL Server 的 安全 补丁 ,应 立即 下 载 并 安装 。 


3.5.2 Oracle 数据 库 的 安全 性 策略 


l. 数据 库 数 据 的 安全 


当 数据 库 系 统 关 闭 时 ,以 及 当 数据 库 数 据 存储 媒体 被 破坏 时 或 当 数 据 库 用 户 误 操 作 
时 , 它 应 能 确保 数据 库 数 据 信息 不 至 于 丢失 。 


2. 数据 库 系统 不 被 非法 用 户 入 侵 


组 合 安 全 性 ; 

。 Oracle 服务 器 实用 例 程 的 安全 性 ; 
DBA 命令 的 安全 性 ; 

。 数据 库 文件 的 安全 性 ; 

。 网 络 安全 性 。 


3. 建立 安全 性 策略 


系统 安全 性 策略 ; 
数据 的 安全 性 策略 ; 
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。 用 户 安全 性 策略 ; 
t 数据 库 管 理 者 安全 性 策略 ; 
t 应 用 程序 开发 者 的 安全 性 策略 。 


36 7J 题 
一 、 填 空 题 
L 数据 库 常见 的 攻击 方式 为 


2. 数据 库 的 破坏 来 自 À 几 个 方面 。 
3. 为 了 保护 数据 库 , 防 止 被 恶意 地 滥用 ,可 以 从 
由 低 到 高 的 五 个 级 别 上 设置 各 种 安全 措施 。 


4. 与 传统 防火 墙 不 同 ,WAEF 工作 在 ,因此 对 应 用 防护 具有 先天 的 
技术 优势 。 
5. SQL 注入 即 通过 把 插入 Web 表单 进行 提交 (或 输入 域名 ;或 页 面 请 求 ) 
的 查询 字符 串 ,最终 达到 
二 、 选 择 题 
1. 对 网 络 系统 中 的 信息 进行 更 改 . 插 入 删除 属于 ( J; 
A. 系统 缺陷 B. 主动 攻击 C. 漏洞 威胁 D. 被 动 攻击 
2. ( ) 是 指 在 保证 数据 完整 性 的 同时 ,还 要 使 其 能 被 正常 利用 和 操作 。 
A. 可 靠 性 B. 可 用 性 C. 完整 性 D. 保密 性 
3. Web 中 使 用 的 安全 协议 有 ( js 
A. PEM SSL B. S-HTTP S/MIME 
C. SSL S-HTTP D. S/MIME SSL 


A. 网 络 安全 最 终 是 一 个 折 中 的 方案 , 即 安全 强度 和 安全 操作 代价 的 折 中 除 增加 安全 
设施 投资 外 ,还 应 考虑 ( Ja 
A. 用 户 的 方便 性 
B. 管理 的 复杂 性 
C. 对 现 有 系统 的 影响 及 对 不 同 平台 的 支持 
D. 上 面 三 项 都 是 


三 、 简 答题 

1. 针对 数据 库 破坏 的 可 能 情况 ,数据 库 管 理 系统 CDBMS) 的 核心 中 已 采取 哪些 相应 
措施 对 数据 库 实 施 保护 ? 

2. 简 述 多 用 户 的 并 发 访问 。 


3. 简 述 备份 和 还 原 。 
4. SQL Server 安全 防护 应 该 考虑 哪些 方面 ? 
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41 项 目 导 入 


随 着 各 种 新 的 网 络 技 术 的 不 断 应 用 和 迅速 发 展 , 计算 机 网 络 的 应 用 范围 变 得 越 来 越 
广泛 , 所 起 的 作用 越 来 越 重 要 。 而 随 着 计算 机 技术 的 不 断 发 展 , 病毒 也 变 得 越 来 越 复杂 
和 高 级 ,新 一 代 的 计算 机 病毒 充分 利用 某 些 常用 操作 系统 与 应 用 软件 的 低 防 护 性 的 弱点 
不 断 肆虐 , 最 近 几 年 随 着 互联 网 在 全 球 的 普及 ,通过 网 络 传 播 病毒 , 使 得 病毒 的 扩散 速 
度 也 快速 提高 , 受 感染 的 范围 越 来 越 广 。 因 此 , 计算 机 网 络 的 安全 保护 将 会 变 得 越 来 越 
重要 。 

计算 机 病毒 与 木马 防护 是 保证 网 络 安 全 运行 的 重要 保障 。 


42 职业 能 力 目 标 和 要 求 


e 掌握 计算 机 病毒 的 类 别 ,结构 与 特点 。 
。 掌握 计算 机 病毒 的 检测 与 防范 。 

t 掌握 杀毒 软件 的 使 用 方法 。 

* 掌握 综合 检测 与 清除 病毒 的 方法 。 


43 相关 知识 点 


4.3.1 计算 机 病毒 的 起 源 


关于 计算 机 病毒 的 起 源 ,目前 有 很 多 种 说 法 ,一般 认为 ,计算 机 病毒 来 源 于 早期 的 特 
洛 伊 木 马 程序 。 这 种 程序 借用 古 希 腊 传说 中 特洛伊 战役 中 木马 计 的 故事 : 特洛伊 王子 在 
访问 希腊 时 , 诱 走 希 腊 王 后 ,因此 希腊 人 远征 特洛伊 ,9 年 围攻 不 下 。 第 10 年 ,希腊 将 领 
献计 ,将 一 批 精兵 藏 在 一 个 巨大 的 木马 腹 中 , 放 在 城 外 ,然后 伴 作 撤兵 ,特洛伊 人 以 为 敌人 
已 退 ,将 木马 作为 战利品 推进 城 去 ,当夜 希腊 伏兵 出 来 ,打开 城 门 里 应 外 合 攻占 了 特洛伊 
城 。 一 些 程序 开发 者 利用 这 一 思想 开发 出 一 种 外 表 上 显得 很 可 靠 的 程序 ,但 是 这 些 程序 
在 被 用 户 使 用 一 段 时 间或 者 执行 一 定 次 数 后 , 便 会 产生 故障 ,出 现 各 种 问题 。 
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计算 机 病毒 起 源 的 另 一 种 说 法 可 追溯 到 科幻 小 说 。1975 年 ,美国 一 位 名 叫 约翰 。 布 
勒 尔 (John Brunei) 的 科普 作家 写 了 一 本 名 为 Shock Wave Rider 的 科学 幻想 小 说 ,作者 在 
该 书 中 第 一 次 描写 了 在 未 来 的 信息 社会 中 ,计算 机 作为 正义 与 卯 恶 双 方 斗 争 工 具 的 故事 。 
1977 年 , 另 一 位 美国 作家 托马斯 "J. 雷 恩 出 版 了 一 本 禾 动 一 时 的 Adolescence of PL E 
恩 在 这 本 书 中 构思 了 一 种 神秘 的 、 能 够 自我 复制 的 ,可 利用 信息 通道 进行 传播 的 计算 机 程 
序 ,并 称 为 “计算 机 病毒 ”。 这 些 计 算 机 病毒 漂泊 于 计算 机 中 , 流 荡 在 集成 电路 芯片 之 间 ， 
控制 了 几 千 台 计 算 机 系统 ,引起 社会 巨大 的 混乱 和 不 安 。 计 算 机 病毒 从 科学 幻想 小 说 到 
现实 社会 的 大 规模 泛滥 仅仅 只 有 短 短 10 年 的 时 间 。1987 4E 5 月 ,美国 (普罗 威 斯 顿 日 
报 ) 编 辑 部 发 现 , 他 们 存储 在 计算 机 中 的 文件 中 出 现 了 “欢迎 进入 土 牢 , 请 小 心病 毒 …… 
的 内 容 。 当 专家 们 进一步 调查 时 ,发 现 这 个 病毒 程序 早已 在 该 报社 的 计算 机 网 络 中 广 为 
传播 。 事后 发 现 , 这 是 某 计算 机 公司 为 防止 他 们 的 软件 被 非法 复制 而 采取 的 一 种 自卫 性 
的 手段 。 

1987 年 12 H ,一 份 发 给 IBM 公司 的 电子 邮件 传送 了 一 种 能 自我 复制 的 圣诞 程序 ; 
1988 年 3 月 2 日 ,苹果 公司 的 苹果 计算 机 在 屏幕 上 显示 出 * 向 所 有 苹果 计算 机 的 用 户 宣 
布 世 界 和 平 的 信息 ”后 停机 ,以 庆祝 苹果 计算 机 的 生日 。 一 些 有 较 丰 富 的 计算 机 系统 知识 
和 编程 经 验 的 恶作剧 者 .计算 机 狂 及 一 些 对 社会 .对 工作 心怀 不 满 的 人 ,为 了 进行 蓄意 报 
复 ,往往 有 意 在 计算 机 系统 中 加 入 一 些 计 算 机 病毒 程序 。 一 些 计算 机 公司 为 了 保护 他 们 
的 软件 不 被 非法 复制 ,在 发 行 的 软件 中 也 加 入 病毒 ,以便 打 击 非法 复制 者 。 这 类 病毒 虽然 
尚未 发 现 恶性 病毒 ,但 在 一 定 程度 上 加 速 了 计算 机 病毒 的 传播 , 且 其 变种 可 能 成 为 严重 的 
灾难 。 


4.3.2 计算 机 病毒 的 定义 


一 般 来 讲 , 凡 是 能 够 引起 计算 机 故障 ,能 够 破坏 计算 机 中 的 资源 (包括 硬件 和 软件 ) 的 
代码 ,统称 为 计算 机 病毒 。 美 国 国家 计算 机 安全 局 出 版 的 (计算 机 安全 术语 汇编 ) 对 计算 
机 病毒 的 定义 是 :“ 计 算 机 病毒 是 一 种 自我 繁殖 的 特洛伊 木马 , 它 由 任务 部 分 、 接 触 部 分 
和 自我 繁殖 部 分 组 成 ”而 在 我 国 也 通过 条 例 的 形式 给 计算 机 病毒 下 了 一 个 具有 法 律 性 、 
权威 性 的 定义 ,《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 明 确定 义 :“ 计 算 机 病毒 
(Computer Virus) 是 指 编 制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 数据 ,影响 
计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。” 


4.3.3 计算 机 病毒 的 分 类 
计算 机 病毒 技术 的 发 展 ,病毒 特征 的 不 断 变化 ,给 计算 机 病毒 的 分 类 带 来 了 一 定 的 困 
难 。 根 据 多 年 来 对 计算 机 病毒 的 研究 ,按照 不 同 的 体系 可 对 计算 机 病毒 进行 如 下 分 类 。 
l. 按 病毒 存在 的 媒体 分 类 


根据 病毒 存在 的 媒体 ,病毒 可 以 划分 为 网 络 病毒 ,文件 病毒 .引导 型 病毒 和 混合 型 
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病毒 。 

网 络 病毒 : 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 。 

文件 病毒 : 感染 计算 机 中 的 文件 (如 : COM、EXE、DOC 等 )。 

引导 型 病毒 : 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扇 区 (MBR) 。 

混合 型 病毒 : 是 上 述 三 种 情况 的 混合 。 例 如 : 多 型 病毒 (文件 和 引导 型 ) 感 染 文件 和 
引导 扇 区 两 种 目标 ,这 样 的 病毒 通常 都 具有 复杂 的 算法 ,它们 使 用 非常 规 的 办 法 侵入 系 
统 , 同 时 使 用 了 加 密 和 变形 算法 。 


2. 按 病毒 传染 的 方法 分 类 


根据 病毒 的 传染 方法 ,可 将 计算 机 病毒 分 为 引导 扇 区 传染 病毒 .执行 文件 传染 病毒 和 
网 络 传染 病毒 。 

引导 扇 区 传染 病毒 : 主要 使 用 病毒 的 全 部 或 部 分 代码 取代 正常 的 引导 记录 ,而 将 正 
常 的 引导 记录 隐藏 在 其 他 地 方 。 

执行 文件 传染 病毒 : 寄生 在 可 执行 程序 中 ,一 旦 程序 执行 ,病毒 就 被 激活 ,进行 预定 
活动 。 

网 络 传染 病毒 : 这 类 病毒 是 当前 病毒 的 主流 ,其 特点 是 通过 互联 网 络 进 行 传播 。 例 
如 ,蠕虫 病毒 就 是 通过 主机 的 漏洞 在 网 上 传播 的 。 


3. 按 病毒 破坏 的 能 力 分 类 


根据 病毒 破坏 的 能 力 ,计算 机 病毒 可 划分 为 无 害 型 病毒 .无 危险 病毒 ` 危 险 型 病毒 和 
非常 危险 型 病毒 。 

无 害 型 : 除了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

无 危险 型 : 仅仅 是 减少 内 存 、 显 示 图 像 发 出 声音 及 同类 音响 。 

危险 型 : 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

非常 危险 型 : 删除 程序 ,破坏 数据 、 清 除 系统 内 存 和 操作 系统 中 重要 的 信息 。 


4. 按 病毒 算法 分 类 


根据 病毒 特有 的 算法 ,病毒 可 以 分 为 伴随 型 病毒 .蠕虫 型 病毒 .寄生 型 病毒 .练习 型 病 
B .诡秘 型 病毒 和 幽灵 病毒 。 

伴随 型 病毒 : 这 一 类 病毒 并 不 改变 文件 本 身 , 它 们 根据 算法 产生 EXE 文件 的 伴随 
体 , 具 有 同样 的 名 字 和 不 同 的 扩展 名 (COMD) 。 

蠕虫 型 病毒 : 通过 计算 机 网 络 传播 ,不 改变 文件 和 资料 信息 ,利用 网 络 从 一 台 机 器 的 
内 存 传播 到 其 他 机 器 的 内 存 ,将 自身 的 病毒 通过 网 络 发 送 。 有 时 它们 在 系统 中 存在 时 ,一 
般 除 了 内 存 不 占用 其 他 资源 。 

寄生 型 病毒 : 依附 在 系统 的 引导 扇 区 或 文件 中 ,通过 系统 的 功能 进行 传播 。 

练习 型 病毒 : 病毒 自身 包含 错误 ,不 能 进行 很 好 的 传播 ,例如 一 些 在 调试 阶段 的 
病毒 。 
诡秘 型 病毒 : 它们 一 般 不 直接 修改 DOS 中 断 和 扇 区 数据 ,而 是 通过 设备 技术 和 文件 
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缓冲 区 等 对 DOS 内 部 进行 修改 ,不 易 看 到 资源 ,通常 使 用 比较 高 级 的 技术 。 利 用 DOS 空 
闲 的 数据 区 进行 工作 。 

幽灵 病毒 : 这 一 类 病毒 使 用 一 个 复杂 的 算法 ,使 自己 每 传播 一 次 都 具有 不 同 的 内 容 
和 长 度 。 它 们 一 般 由 一 段 混 有 无 关 指令 的 解码 算法 和 经 过 变化 的 病毒 体 组 成 。 


5. 按 病 毒 的 攻击 目标 分 类 


根据 病毒 的 攻击 目标 ,计算 机 病毒 可 以 分 为 DOS 病毒 、Windows 病毒 和 其 他 系统 
病毒 。 

DOS 病毒 : 指针 对 DOS 操作 系统 开发 的 病毒 。 

Windows 病毒 : 主要 指针 对 Windows 9x 操作 系统 的 病毒 。 

其 他 系统 病毒 : 主要 攻击 Linux, UNIX 和 OS2 及 嵌入 式 系统 的 病毒 。 由 于 系统 本 
身 的 复杂 性 ,这 类 病毒 数量 不 是 很 多 。 


6. 按 计算 机 病毒 的 链接 方式 分 类 


由 于 计算 机 病毒 本 身 必须 有 一 个 攻击 对 象 才能 实现 对 计算 机 系统 的 攻击 ,并 且 计 算 
机 病毒 所 攻击 的 对 象 是 计算 机 系统 可 执行 的 部 分 。 因 此 ,根据 链接 方式 计算 机 病毒 可 分 
为 : 源码 型 病毒 .嵌入 型 病毒 .外 壳 型 病毒 .操作 系统 型 病毒 。 

源码 型 病毒 : 该 病毒 攻击 高 级 语言 编写 的 程序 ,在 高 级 语言 所 编写 的 程序 编译 前 捅 
入 源 程序 中 ,经 编译 成 为 合法 程序 的 一 部 分 。 

嵌入 型 病毒 : 这 种 病毒 是 将 自身 嵌入 现 有 程序 中 ,把 计算 机 病毒 的 主体 程序 与 其 攻 
击 的 对 象 以 插入 的 方式 链接 。 这 种 计算 机 病毒 是 难以 编写 的 ,一 旦 侵入 程序 体 后 也 较 难 
消除 。 如 果 同 时 采用 多 态 性 病毒 技术 、 超 级 病毒 技术 和 隐蔽 性 病毒 技术 ,将 给 当前 的 反 病 
毒 技 术 带 来 严峻 的 挑战 。 

外 过 型 病毒 : 外 过 型 病毒 将 其 自身 包围 在 主 程序 的 四 周 ,对 原来 的 程序 不 做 修改 。 
这 种 病毒 最 为 常见 ,易于 编写 ,也 易于 发 现 , 一 般 测 试 文件 的 大 小 即 可 察觉 。 

操作 系统 型 病毒 : 这 种 病毒 用 自身 的 程序 加 入 或 取代 部 分 操作 系统 进行 工作 ,具有 
很 强 的 破坏 力 , 可 以 导致 整个 系统 的 瘫痪 。 圆 点 病毒 和 大 麻 病 毒 就 是 典型 的 操作 系统 型 
病毒 。 

这 种 病毒 在 运行 时 ,用 自己 的 逻辑 部 分 取代 操作 系统 的 合法 程序 模块 ,根据 病毒 自身 
的 特点 和 被 蔡 代 的 合法 程序 模块 在 操作 系统 中 运行 的 地 位 与 作用 ,以 及 病毒 取代 操作 系 
统 的 取代 方式 等 ,对 操作 系统 进行 破坏 。 


4.3.4 计算 机 病毒 的 结构 


计算 机 病毒 一 般 由 引导 模块 感染 模块 破坏 模块 、 触 发 模块 四 大 部 分 组 成 。 根 据 是 
否 被 加 载 到 内 存 , 计 算 机 病毒 又 分 为 静态 和 动态 。 处 于 静态 的 病毒 存 于 存储 器 介质 中 ,一 
般 不 执行 感染 和 破坏 ,其 传播 只 能 借助 第 三 方 活动 (如 复制 下载. 邮件 传输 等 ) 实 现 。 当 
病毒 经 过 引导 进入 内 存 后 , 便 处 于 活动 状态 ,满足 一 定 的 触发 条 件 后 就 开始 进行 传染 和 破 
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坏 , 从 而 构成 对 计算 机 系统 和 资源 的 威胁 和 毁坏 。 
1. 引导 模块 


计算 机 病毒 为 了 进行 自身 的 主动 传播 ,必须 寄生 在 可 以 获取 执行 权 的 寄生 对 象 上 。 
就 目前 出 现 的 各 种 计算 机 病毒 来 看 ,其 寄生 对 象 有 两 种 : 寄生 在 磁盘 引导 扇 区 和 寄生 在 
特定 文件 中 (如 EXE, COM, 可 执行 文件 .DOC .HTML 等 )。 寄 生 在 它们 上 面 的 病毒 程序 
可 以 在 一 定 条 件 下 获得 执行 权 , 从 而 得 以 进入 计算 机 系统 ,并 处 于 激活 状态 ,然后 进行 动 
态 传播 和 破坏 活动 。 计 算 机 病毒 的 寄生 方式 有 两 种 : 采用 替代 方式 和 采用 链接 方式 。 所 
谓 替 代 就 是 指 病毒 程序 用 自己 的 部 分 或 全 部 指令 代码 ,替代 磁盘 引导 扇 区 或 文件 中 的 全 
部 或 部 分 内 容 。 链 接 则 是 指 病毒 程序 将 自身 代码 作为 正常 程序 的 一 部 分 与 原 有 正常 程序 
链接 在 一 起 。 寄 生 在 磁盘 引导 扇 区 的 病毒 一 般 采 取 替 代 ,而 寄生 在 可 执行 文件 中 的 病毒 
一 般 采 用 链接 。 对 于 寄生 在 磁盘 引导 扇 区 的 病毒 来 说 ,病毒 引导 程序 占有 了 原 系 统 引导 
程序 的 位 置 ,并 把 原 系 统 引导 程序 搬移 到 一 个 特定 的 地 方 。 这 样 系统 一 启动 ,病毒 引导 模 
块 就 会 自动 地 装 入 内 存 并 获得 执行 权 , 然 后 该 引导 程序 负责 将 病毒 程序 的 传染 模块 和 发 
作 模 块 装 入 内 存 的 适当 位 置 ,并 采取 常 驻 内 存 技 术 以 保证 这 两 个 模块 不 会 被 覆盖 ,接着 对 
这 两 个 模块 设 定 某 种 激活 方式 ,使 之 在 适当 的 时 候 获得 执行 权 。 完 成 这 些 工作 后 ,病毒 引 
导 模 块 将 系统 引导 模块 装 和 人 内存, 使 系统 在 带 毒 状 态 下 依然 可 以 继续 进行 。 对 于 寄生 在 
文件 中 的 病毒 来 说 ,病毒 程序 一 般 可 以 通过 修改 原 有 文件 ,使 对 该 文件 的 操作 转 入 病毒 程 
序 引 导 模 块 ,引导 模块 也 完成 把 病毒 程序 的 其 他 两 个 模块 驻 留 内 存 及 初始 化 的 工作 ,然后 
把 执行 权 交 给 原文 件 , 使 系统 及 文件 在 带 毒 状态 下 继续 运行 。 


2. 感染 模块 


感染 是 指 计算 机 病毒 由 一 个 载体 传播 到 另 一 个 载体 。 这 种 载体 一 般 为 磁盘 , 它 是 计 
算 机 病毒 赖 以 生存 和 进行 传染 的 媒介 。 但 是 ,只 有 载体 还 不 足以 使 病毒 得 到 传播 。 促 成 
病毒 的 传染 还 有 一 个 先决 条 件 , 可 分 为 两 种 情况 。 一 种 情况 是 用 户 在 复制 磁盘 或 文件 时 ， 
把 一 个 病毒 由 一 个 载体 复制 到 另 一 个 载体 上 ,或 者 是 通过 网 络 上 的 信息 传递 ,把 一 个 病毒 
程序 从 一 方 传递 到 另 一 方 ; 另 一 种 情况 是 在 病毒 处 于 激活 状态 下 ,只 要 传染 条 件 满足 , 病 
毒 程序 能 主动 地 把 病毒 自身 传染 给 另 一 个 载体 。 计 算 机 病毒 的 传染 方式 基本 可 以 分 为 两 
大 类 ,一 类 是 立即 传染 , 即 病毒 在 被 执行 的 瞬间 , 抢 在 宿主 程序 开始 执行 前 ,立即 感染 磁盘 
上 的 其 他 程序 ,然后 再 执行 宿主 程序 。 另 一 类 是 驻 留 内 存 并 伺机 传染 ,内 存 中 的 病毒 检查 
当前 系统 环境 ,在 执行 一 个 程序 浏览 一 个 网 页 时 传染 磁盘 上 的 程序 。 驻 留 在 系统 内 存 中 
的 病毒 程序 在 宿主 程序 运行 结束 后 , 仍 可 活动 ,直至 关闭 计算 机 。 


3. 触发 模块 


计算 机 病毒 在 传染 和 发 作 之 前 ,往往 要 判断 某 些 特定 条 件 是 否 满足 ,满足 则 传染 和 发 

作 ,和 否则 不 传染 或 不 发 作 ,这 个 条 件 就 是 计算 机 病毒 的 触发 条 件 。 计 算 机 病毒 频繁 的 破坏 
行为 可 能 给 用 户 以 重创 。 目 前 病毒 采用 的 触发 条 件 主要 有 以 下 几 种 。 

(D 日 期 触发 。 许 多 病毒 采用 日 期 作为 触发 条 件 。 日 期 触发 大 体 包 括 特 定 日 期 触发 、 
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月 份 触 发 和 前 半年 触发 .后 半年 触发 等 。 

© 时 间 触 发 。 时 间 触 发 包括 特定 的 时 间 触 发 、 染 毒 后 累计 工作 时 间 触 发 和 文件 最 后 
写 和 时间 触 发 等 。 

O 键盘 触发 。 有 些 病毒 监视 用 户 的 击 键 动作 , 当 发 现 病毒 预定 的 击 键 时 ,病毒 被 激 
活 , 进 行 某 些 特 定 操作 。 键 盘 触 发 包括 击 键 次 数 触发 .组 合 键 触发 和 热 启 动 触发 等 。 

CD 感染 触发 。 许 多 病毒 的 感染 需要 某 些 条 件 触发 ,而 且 相 当 数 量 的 病毒 以 与 感染 有 
关 的 信息 反 过 来 作为 破坏 行为 的 触发 条 件 , 称 为 感染 触发 。 它 包括 运行 感染 文件 个 数 触 
发 .感染 序数 触发 .感染 磁盘 数 触 发 和 感染 失败 触发 等 。 

C) 启动 触发 。 病 毒 对 计算 机 的 启动 次 数 计数 ,并 将 此 值 作为 触发 条 件 。 

© 访问 磁盘 次 数 触发 。 病 毒 对 磁盘 I/O 访问 次 数 进行 计数 ,以 预定 次 数 作为 触发 
条件 

(D CPU 型 号 ,主板 型 号 触发 。 病 毒 能 识别 运行 环境 的 CPU 型 号 /主板 型 号 ,以 预定 
CPU 型 号 /主板 型 号 作为 触发 条 件 ,这 种 病毒 的 触发 方式 奇特 罕见 。 


4. 破坏 模块 


破坏 模块 在 触发 条 件 满足 的 情况 下 ,病毒 对 系统 或 磁盘 上 的 文件 进行 破坏 。 这 种 破 
坏 活 动 不 一 定 都 是 删除 磁盘 上 的 文件 ,有 的 可 能 是 显示 一 串 无 用 的 提示 信息 。 有 的 病毒 
在 发 作 时 ,会 干扰 系统 或 用 户 的 正常 工作 。 而 有 的 病毒 ,一 旦 发 作 , 则 会 造成 系统 死机 或 
册 除 磁盘 文件 。 新 型 的 病毒 发 作 还 会 造成 网 络 的 拥塞 甚至 瘫痪 。 计 算 机 病毒 破坏 行为 的 
激烈 程度 取决 于 病毒 创作 者 的 主观 愿望 和 他 所 具有 的 技术 能 量 。 数 以 万 计 、 不 断 发 展 扩 
张 的 病毒 ,其 破坏 行为 千奇百怪 。 病 毒 破坏 目标 和 攻击 部 位 主要 有 : 系统 数据 区 、 文 件 、 
内 存 、 系 统 运行 速度 、 磁 盘 、.CMOS, 主 板 和 网 络 等 。 


4.3.5 计算 机 病毒 的 危害 


l. 病毒 对 计算 机 数据 信息 的 直接 破坏 作用 


大 部 分 病毒 在 激发 的 时 候 直接 破坏 计算 机 的 重要 信息 数据 ,所 利用 的 手段 有 格式 化 
磁盘 ,改写 文件 分 配 表 和 目录 区 、 删 除 重要 文件 或 者 用 无 意义 的 “垃圾 ?数据 改写 文件 、 破 
坏 CMOS 设置 等 。 


2. 占用 磁盘 空间 和 对 信息 的 破坏 


寄生 在 磁盘 上 的 病毒 总 要 非法 占用 一 部 分 磁盘 空间 。 引 导 型 病毒 的 一 般 侵占 方式 是 
由 病毒 本 身 占 据 磁盘 引导 扇 区 ,而 把 原来 的 引导 区 转移 到 其 他 扇 区 ,也 就 是 引导 型 病毒 要 
覆盖 一 个 磁盘 扇 区 。 被 覆盖 的 扇 区 数据 永久 性 丢失 ,无 法 恢复 。 


3. 抢占 系统 资源 


大 多 数 病毒 在 动态 下 都 是 常 驻 内 存 的 ,这 就 必然 抢占 一 部 分 系统 资源 。 病 毒 所 占用 
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的 基本 内 存 长 度 大 致 与 病毒 本 身长 度 相当 。 病 毒 抢占 内 存 , 导 致 内 存 减少 ,一 部 分 软件 不 
能 运行 。 除 占用 内 存 外 ,病毒 还 抢占 中 断 , 干 扰 系 统 运行 。 


4. 影响 计算 机 运行 速度 


病毒 进驻 内 存 后 不 但 干扰 系统 运行 ,还 影响 计算 机 速度 ,主要 表现 在 以 下 方面 。 

(1) 病毒 为 了 判断 传染 激发 条 件 , 总 要 对 计算 机 的 工作 状态 进行 监视 ,这 相对 于 计算 
机 的 正常 运行 状态 既 多 余 又 有 害 。 

(2) 有 些 病毒 为 了 保护 自己 ,不 但 对 磁盘 上 的 静态 病毒 加 密 , 而 且 进驻 内 存 后 的 动态 
病毒 也 处 在 加 密 状 态 ,CPU 每 次 寻 址 到 病毒 处 时 要 运行 一 段 解 密 程序 把 加 密 的 病毒 解密 
成 合法 的 CPU 指令 再 执行 ;而 病毒 运行 结束 时 再 用 一 段 程序 对 病毒 重新 加 密 。 这 样 
CPU 额外 执行 数 千 条 以 至 上 万 条 指令 。 


5. 计算 机 病毒 会 导致 用 户 的 数据 不 安全 


病毒 技术 的 发 展 可 以 使 计算 机 内 部 数据 造成 损坏 和 失窃 。 对 于 重要 的 数据 ,计算 机 
病毒 应 该 是 影响 计算 机 安全 的 重要 因素 。 


4.3.6 常见 的 计算 机 病毒 


1. 蠕虫 病毒 


蠕虫 (Worm) 病 毒 是 一 种 通过 网 络 传播 的 恶意 病毒 。 它 的 出 现 相 对 于 文件 病毒 、 安 
病毒 等 传统 病毒 较 晚 ,但 是 无 论 是 传播 的 速度 ,传播 范围 还 是 破坏 程度 上 都 要 比 以 往 传统 
的 病毒 严重 得 多 。 

蠕虫 病毒 一 般 由 两 部 分 组 成 : 一 个 主 程序 和 一 个 引导 程序 。 主 程序 的 功能 是 搜索 和 
扫描 。 它 可 以 读 取 系 统 的 公共 配置 文件 ,获得 网 络 中 的 联网 用 户 的 信息 ,从 而 通过 系统 漏 
洞 ,将 引导 程序 建立 到 远程 计算 机 上 。 引 导 程序 实际 是 蠕虫 病毒 主 程序 的 一 个 副本 , 主 程 
序 和 引导 程序 都 具有 自动 重新 定位 的 能 力 。 


2. CIH 病毒 


CIH 病毒 又 名 “ 切 尔 诺 贝 利 ”, 是 一 种 可 怕 的 计算 机 病毒 。 它 是 由 中 国 台 湾 大 学 生 陈 
盈 豪 编制 的 ,1998 年 5 月 , 陈 盘 豪 还 在 大 同 工 学 院 就 读 时 ,完成 了 以 他 的 英文 名 字 缩 写 
CIH 名 的 计算 机 病毒 ,起 初 据 称 只 是 为 了 “* 想 纪念 一 下 1986 年 的 灾难 ”或 “使 反 病毒 软件 
公司 难堪 ”。 

CIH 病毒 很 多 人 会 闻 之 色 变 ,因为 CIH 病毒 是 有 史 以 来 影响 最 大 的 病毒 之 一 。 


是 微软 公司 为 其 Office 软件 包 设计 的 一 个 特殊 功能 ,软件 设计 者 为 了 让 人 们 在 使 
用 软件 进行 工作 时 避免 一 再 地 重复 相同 的 动作 而 设计 出 来 的 一 种 工具 , 它 利用 简单 的 语 
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法 ,把 常用 的 动作 写成 宏 , 当 在 工作 时 ,就 可 以 直接 利用 事先 编 好 的 宏 自动 运行 ,去 完成 某 
项 特定 的 任务 ,而 不 必 再 重复 相同 的 动作 ,目的 是 让 用 户 文档 中 的 一 些 任 务 自动 化 。 宏 病 
毒 由 此 而 来 。 


4. Word 文档 杀手 病毒 


Word 文档 杀手 病毒 通过 网 络 进行 传播 ,大 小 为 53248 字 节 。 该 病毒 运行 后 会 搜索 
软盘 、U 盘 等 移动 存储 磁盘 和 网 络 映射 驱动 器 上 的 Word 文档 ,并 试图 用 自身 覆盖 找到 的 
Word 文档 ,达到 传播 的 目的 。 

病毒 将 破坏 原来 文档 的 数据 ,而 且 会 在 计算 机 管理 员 修 改 用 户 密码 时 进行 键盘 记录 ， 
记录 结果 也 会 随 病毒 传播 一 起 被 发 送 。 


4.3.7 木马 


木马 一 词 ,来 源 于 古 希 腊 传 说 ( 荷 马 史诗 中 木马 计 的 故事 , Trojan 一 词 的 本 意 是 特 洛 
伊 的 , 即 代 指 特洛伊 木马 ,也 就 是 木马 计 的 故事 )。 

“木马 ”与 计算 机 网 络 中 常常 要 用 到 的 远程 控制 软件 有 些 相 似 , 但 由 于 远程 控制 软件 
是 “善意 ”的 控制 ,因此 通常 不 具有 隐蔽 性 六 木马 ? 则 完全 相反 ,木马 要 达到 的 是 “偷窃 "性 
的 远程 控制 ,如 果 没 有 很 强 的 隐藏 性, 那 就 是 “ 毫 无 价值 的。 

它 是 指 通 过 一 段 特定 的 程序 (木马 程序 ) 来 控制 男 一 台 计 算 机 。 木 马 通常 有 两 个 可 执 
行程 序 : 一 个 是 客户 端 , 即 控 制 端 ; 另 一 个 是 服务 端 , 即 被 控制 端 。 将 “木马 ” 植 信 计算 机 
后 充当 “服务 器 ”部 分 ,而 所 谓 的 “黑客 " 正 是 利用 “控制 器 ”进入 运行 了 “服务 器 ”的 计算 机 。 
运行 了 木马 程序 的 “服务 器 ”以 后 ,被 感染 的 计算 机 就 会 有 一 个 或 几 个 端口 被 打开 ,使 黑客 
可 以 利用 这 些 打 开 的 端口 进入 计算 机 系统 。 木 马 的 设计 者 为 了 防止 木马 被 发 现 而 采用 多 
种 手段 隐藏 木马 。 木 马 的 服务 一 旦 运行 并 被 控制 端 连接 ,其 控制 端 将 享有 服务 端的 大 部 
分 操作 权限 ,例如 给 计算 机 增加 口令 ,浏览 移动、 复制 .删除 文件 ,修改 注册 表 , 更 改 计算 
机 配置 等 。 

随 着 病毒 编写 技术 的 发 展 ,木马 程序 对 用 户 的 威胁 越 来 越 大 ,尤其 是 一 些 木 马 程 序 采 
用 了 极其 狭 独 的 手段 来 隐蔽 自己 ,使 普通 用 户 很 难 在 中 毒 后 发 觉 。 


4.3.8. 计算 机 病毒 的 检测 与 防范 


1. 计算 机 病毒 的 检测 技术 


计算 机 病毒 的 检测 技术 是 指 通过 一 定 的 技术 手段 判定 计算 机 病毒 的 一 门 技术 。 现 在 
判定 计算 机 病毒 的 手段 主要 有 两 种 : 一 种 是 根据 计算 机 病毒 特征 来 进行 判断 ; 另 一 种 是 
对 文件 或 数据 段 进行 校 验 和 计算 ,定期 和 不 定时 地 根据 保存 结果 对 该 文件 或 数据 段 进行 
校 验 来 判定 。 
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(1) 特征 判定 技术 

根据 病毒 程序 的 特征 ,如 感染 标记 、 特 征程 序 段 内 容 文件 长 度 变化 .文件 校 验 和 变化 
等 ,对 病毒 进行 分 类 处 理 。 而 后 凡是 有 类 似 特 征 点 出 现 , 则 认为 是 病毒 。 

CD 比较 法 : 将 可 能 的 感染 对 象 与 其 原始 备份 进行 比较 。 

© 扫描 法 : 用 每 一 种 病毒 代码 中 含有 的 特定 字符 或 字符 串 对 被 检测 的 对 象 进行 
扫描 。 

@ 分 析 法 : 针对 未 知 新 病毒 采用 的 技术 。 

(2) 校 验 和 判定 技术 

计算 正常 文件 内 容 的 校 验 和 ,将 校 验 和 保存 。 检 测 时 ,检查 文件 当前 内 容 的 校 验 和 与 
原来 保存 的 校 验 和 是 否 一 致 。 

(3) 行为 判定 技术 

以 病毒 机 理 为 基础 ,对 病毒 的 行为 进行 判断 。 不 仅 识别 现 有 病毒 ,而 且 还 会 识别 出 属 
于 已 知 病毒 机 理 的 变种 病毒 和 未 知 病毒 。 


2. 计算 机 病毒 的 防范 


(1) 病毒 防治 技术 的 几 个 阶段 

第 一 代 反 病毒 技术 采取 单纯 的 病毒 特征 诊断 ,但 是 对 加 密 、 变 形 的 新 一 代 病 毒 无 能 
为 力 。 

第 二 代 反 病毒 技术 采用 静态 广 谱 特征 扫描 技术 ,可 以 检测 变形 病毒 ,但 是 误 报 率 高 ， 
杀毒 风险 大 。 

第 三 代 反 病毒 技术 静态 扫描 技术 将 静态 扫描 技术 和 动态 仿真 跟踪 技术 相 结 合 。 

第 四 代 反 病毒 技术 基于 多 位 CRC 校 验 和 扫描 机 理 、 启 发 式 智能 代码 分 析 模 块 .动态 
数据 还 原 模 块 (能 查 出 隐蔽 性 极 强 的 压缩 加 密 文 件 中 的 病毒 ) 内存 解毒 模块 .自身 免疫 模 
块 等 先进 解毒 技术 ,能 够 较 好 地 完成 查 解毒 的 任务 。 

第 五 代 反 病毒 技术 主要 体现 在 反 蠕虫 病毒 .恶意 代码 .邮件 病毒 等 技术 。 这 一 代 反 病 
毒 技 术 作为 一 种 整体 解决 方案 出 现 ,形成 了 包括 漏洞 扫描 、 病 毒 查 杀 、 实 时 监控 、 数 据 备 
份 . 个 人 防火 墙 等 技术 的 立体 病毒 防治 体系 。 

(2) 目前 流行 的 技术 

CD 虚拟 机 技术 

接近 于 人 工分 析 的 过 程 。 用 程序 代码 虚拟 出 一 个 CPU 来 ,同样 也 虚拟 CPU 的 各 个 
寄存 器 ,甚至 将 硬件 端口 也 虚拟 出 来 ,用 调试 程序 调和 “病毒 样本 ”并 将 每 一 个 语句 放 到 虚 
拟 环境 中 执行 ,这 样 我 们 就 可 以 通过 内 存 和 寄存 器 以 及 端口 的 变化 来 了 解 程序 的 执行 ,从 
而 判断 是 否 中 毒 。 

© 宏 指 纹 识别 技术 

宏 指 纹 识别 技术 (Macro Finger) 是 基于 Office 复合 文档 BIFF 格式 精确 查 杀 各 类 宏 
病毒 的 技术 。 

@ 驱动 程序 技术 

。 DOS 设备 驱动 程序 。 
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。 VxD( 虚 拟 设备 驱动 ) 是 微软 专门 为 Windows 制定 的 设备 驱动 程序 接口 规范 。 

。 WDM(Windows Driver Model) 是 Windows 驱动 程序 模型 的 简称 。 

。 Windows NT 核心 驱动 程序 。 

@ 计算 机 监控 技术 (实时 监控 技术 ) 

。 注册 表 监 控 。 

。 脚本 监控 。 

。 内 存 监控 。 

。 邮件 监控 。 

。 文件 监控 。 

C) 监控 病毒 源 技术 

。 邮件 跟踪 体系 ,如 消息 跟踪 查询 协议 (MTQP-Messge Trcking Query Protocol) 。 

。 网 络 人 口 监控 防 病毒 体系 ,如 TVCS-Tirus Control System, 

© 主动 内 核 技术 

在 操作 系统 和 网 络 的 内 核 中 加 入 反 病 毒 功能 ,使 反 病 毒 成 为 系统 本 身 的 底层 模块 ,而 
不 会 将 一 个 系统 外 部 的 应 用 软件 作为 主动 内 核 技术 。 


44 项 目 实施 


任务 4-1 360 杀毒 软件 的 使 用 


360 杀毒 是 完全 免费 的 杀毒 软件 , 它 创 新 性 地 整合 了 四 大 领先 防 杀 引擎 ,包括 国际 知 
名 的 BitDefender 病毒 查 杀 引擎 、360 云 查 杀 引擎 .360 主动 防御 引擎 .360QVM 人 工 智能 
引擎 。 四 个 引擎 智能 调度 ,为 用 户 提供 全 时 全 面 的 病毒 防护 ,不 但 查 杀 能 力 出 色 ,而 且 能 
第 一 时 间 防 御 新 出 现 的 病毒 木马 。 此 外 ,360 杀毒 轻巧 快速 不 卡 机 ,误杀 率 远 远 低 于 其 他 
杀毒 软件 ,荣获 多 项 国际 权威 认证 ,已 有 超过 2 亿 用 户 选择 360 杀毒 保护 计算 机 安全 。 

360 杀毒 软件 具有 以 下 特点 。 

O 全 面 防御 U 盘 病 毒 : WER NKA hE U 盘 传 播 的 病毒 ,第 一 时 间 阻 止 病毒 从 
U 盘 和 运行 ,切断 病毒 传播 链 。 

O 领先 四 引擎 ,全 时 防 杀 病毒 : 独 有 四 大 核心 引擎 ,包含 领先 的 人 工 智 能 引擎 ,全面 
全 时 保护 安全 。 

@ 坚固 网 盾 ,拦截 钓鱼 挂 马 网 页 : 360 杀毒 包含 上 网 防护 模块 ,拦截 钓鱼 挂 马 等 恶意 
网 页 。 
CD 独 有 可 信 程 序数 据 库 ,防止 误杀 : 依托 360 安全 中 心 的 可 信 程 序数 据 库 ,实时 校 
验 ,360 杀毒 的 误杀 率 极 低 。 

O 快速 升级 及 时 获得 最 新 防护 能 力 : 每 日 多 次 升级 ,及 时 获得 最 新 病毒 防护 能 力 。 

360 杀毒 软件 的 工作 界面 如 图 4-1 一 图 4-4 所 示 。 
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srr: [8 [9] [S] [T [8] EU MERE EER Wen 
程序 版 本 5.0.0.5011 检查 更 新 SD.360.ON 


图 4-1 360 杀毒 软件 工作 界面 


和 扫 抄 系统 修复 项 目 ” 协 将 360 安 全 卫士 的 服务 程序 
Ix EZ 


Tdi: 137 o 共 检 出 项 : 0 已 用 时 间 : 00:00:13 gem O 性 能 最 佳 


一 0 一 一 e 一 一 6 一 一 6 一 一 6 一 


利用 软件 内 存活 跃 程序 开机 局 动 项 | 所 有 而 本 文件 
O 正在 扫描 等 待 扫描 - . - FHAR... FHAR... 等 待 扫描 . - - 
您 是 否 通 到 了 这 些 问题 : 。 9 空间 打 不 开 | 网 络 视频 看 不 了 | 网 页 打 不 开 | FMES | 浏览 器 外 观 异 富 更 多 


扫描 完成 后 自动 处 理 并 关机 


图 4-2 360 杀毒 软件 全 盘 扫 描 界面 
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Io iE 


© 
Ls d FARE 内 存活 跃 程序 开机 局 动 项 


系统 关键 位 置 


正在 扫描 Sm Sn. 等 待 扫描 等 待 扫描 ， 


悠 是 否 吕 到 了 这 些 问题 : 。 0 空间 打 不 开 | 网 六 视频 看 不 了 | 网 页 打 不 开 | AMEME | 浏览 器 外 观 异 委 


图 4-3 360 杀毒 软件 快速 扫描 界面 


将 图 标 拖 拷 到 下 侧 位 置 ， 可 
轻松 设置 快捷 功能 1 


图 4-4 360 杀毒 软件 专业 功能 界面 


任务 4-2 360 安全 卫士 软件 的 使 用 

360 安全 卫士 是 当前 功能 更 强 、 效 果 更 好 、 更 受用 户 欢迎 的 上 网 必 备 安全 软件 。 由 
于 使 用 方便 ,用 户口 碑 好 ,目前 ,首选 安装 360 的 用 户 已 超过 4 亿 。360 安全 卫士 拥有 
查 杀 木马 、 清 理 插件 ,修复 漏洞 .计算 机 体检 等 多 种 功能 ,并 独创 了 “木马 防火 墙 ” 功 能 ， 
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依靠 抢先 侦 测 和 云端 鉴别 ,可 全 面 、 智 能 地 拦截 各 类 木马 ,保护 用 户 的 账号 、 隐 私 等 重 
要 信息 。 
目前 木马 威胁 之 大 已 远 超 病毒 ,360 安全 卫士 运用 云 安 全 技术 ,在 拦截 和 查 杀 木 马 的 
效果 .速度 以 及 专业 性 上 表现 出 色 ,能 有 效 防止 个 人 数据 和 隐私 被 木马 窃取 ,被 誉 为 "防范 
木马 的 第 一 选择 ”。360 安全 卫士 自身 非常 轻巧 ,同时 还 具备 开机 加 速 ,垃圾 清理 等 多 种 
系统 优化 功能 ,可 大 大 加 快 计算 机 运行 速度 ,内 含 的 360 软件 管家 还 可 帮助 用 户 轻松 下 
载 . 升 级 和 强力 卸载 各 种 应 用 软件 。 


l. 查 杀 流行 木马 


定期 进行 木马 查 杀 可 以 有 效 保护 各 种 系统 账户 安全 。 在 这 里 可 以 进行 系统 区 域 位 置 
快速 扫描 ,全 盘 完 整 扫描 、 自 定义 区 域 扫 描 。 

选择 自己 需要 的 扫描 方式 , 单 击 “ 开 始 扫 描 ”, 将 马上 按照 选择 的 扫描 方式 进行 木马 扫 
描 , 如 图 4-5 所 示 。 


V 360 木 马云 查 杀 cew 
a ) 360% 

Co © 9 
ET RA E RM 木马 去 相 杀 ^ 


i 360 云 查 杀 引 苞 ， 速 诬 快 10 倍 、 内 存 节 省 80%、 查 杀 木 马 最 强 > 启发 式 引擎 : 未 开启 IFR 
全 新 启发 式 引擎 智信 识别 未 知 林 马 
ELEC 


3 tia cnm 


BERENT ERUMPMOSHIE, ENHI C ERBRI 
Ed 
推荐 选择 — || 区 ES 1-7] > RES: 
BERKAT BSHRRSEEE,ETUM T 
全 盘 扫描 共有 1 MARWAR Do 
ü | &zscam EEM ^ mem: 
Po 山 您 目 己 指定 需要 从 类 的 范围 云 安全 计划 设置 信任 程序 列表 


图 4-5 安全 卫士 进行 全 盘 扫 描 


2. 清理 恶 评 及 系统 插件 


作用 : 清理 恶 评 及 系统 插件 (一 般 需要 清除 恶 评 插件 ) 。 

(1) 恶意 软件 的 定义 

恶意 软件 是 对 破坏 系统 正常 运行 的 软件 的 统称 ,一 般 来 说 有 如 下 表现 形式 : 强行 安 
装 ,无 法 印 载 ;安装 以 后 修改 主页 且 锁 定 ; 安 装 以 后 随时 自动 弹出 恶意 广告 ;自我 复制 代 
码 , 类 似 病毒 一 样 , 拖 慢 系 统 速 度 。 
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(2) 插件 的 定义 

插件 是 指 会 随 着 IE 浏览 器 的 启动 自动 执行 的 程序 ,根据 插件 在 浏览 器 中 的 加 载 位 
置 ,可 以 分 为 工具 条 (Toolbar) 浏览 器 辅助 (BHO) .搜索 挂 接 CURL SEARCHHOOK)、 
下 载 ActiveXCACTIVEX) 。 

有 些 插件 程序 能 够 帮助 用 户 更 方便 浏览 互联 网 或 调用 上 网 辅助 功能 ,也 有 部 分 程序 
被 人 称 为 广告 软件 (Adware) 或 间谍 软件 (Spyware)。 此 类 恶意 插件 程序 监视 用 户 的 上 网 
行为 ,并 把 所 记录 的 数据 报告 给 插件 程序 的 创建 者 ,以 达到 投放 广告 、 盗 取 游 戏 或 银行 账 
号 密码 等 非法 目的 。 

因为 搬 件 程序 由 不 同 的 发 行商 发 行 ,其 技术 水 平 也 良 劳 不 齐 ,插件 程序 很 可 能 与 其 他 
运行 中 的 程序 发 生 冲 突 , 从 而 导致 诸如 各 种 页 面 错误 ,运行 时 间 错 误 等 现象 , 阻 蹇 了 正常 
浏览 。 图 4-6 为 清理 恶 评 及 系统 插件 的 界面 。 部 分 功能 介绍 如 下 。 


|. 人 NEC 
[SN MEILDILENEL OLI] 


PRATEER [2 Lr id 
_ 网友 评分 N 


生 加 果 剑 帮 电 脑 有 严重 问题 ,请 用 360 系 统 急 笋 箭 amag | [meme | 


4-6 清理 恶 评 及 系统 插件 


O 立即 清理 。 选 中 要 清除 的 插件 , 单 击 此 按钮 ,执行 立即 清除 。 
© 信任 插件 。 选 中 自己 信任 的 插件 , 单 击 此 按钮 ,添加 “信任 插件 ”中 。 


3. 管理 应 用 软件 (主要 是 软件 卸载 ) 

如 图 4-7 所 示 ,在 这 里 可 以 印 载 计算 机 中 不 常用 的 软件 ,节省 磁盘 空间 ,提高 系统 运 
行 速度 。 

* 软件 卸载 : 选中 要 外 载 的 不 常用 软件 , 单 击 此 按钮 ,软件 被 立即 卸载 。 

。 重新 扫描 : 单 击 此 按钮 ,将 重新 扫描 计算 机 ,检查 软件 情况 。 

4. 修复 系统 漏洞 


360 安全 卫士 为 用 户 提供 的 漏洞 补丁 均 由 微软 官方 获取 。 如 果 系 统 漏洞 较 多 则 容易 
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招致 病毒 ,请 及 时 修复 漏洞 ,保证 系统 安全 ,如 图 4-8 所 示 。 


TE 360 软 件 管家 -ox 
£oROSXREGRSxE LO 
REEE o 软件 升级 RAME SIIA HIP z 
已 安装 软件 16 c, RARE(CEORTHRSSIS : 2.368 答 入 软件 名 称 ， 快速 查 找 要 郑 载 的 软件 .… Q esse QaE 
ELICNHM NES 
sex) | 360 安 全 卫士 dicke E 
视频 (2) | 功能 景 强 、 效 果 最 好、 景 委 用 户 欢 迎 的 上 网 各 安全 软件 。 不 但 永久 免费 ，.…. uns 
| 
FRIR — 
IR (2) 7 7---- Airit *E 
| 文 了 处 理 (2) 1E 的 FLASH 搬 首 。 用 未 播放 下 或 所 有 调用 正 的 页 面 播放 人 sh 或 fsh 类 型 的 视频 … L—— 
| meno Adobe Flash Player 10 Plugin 一 一 
. kirt Lr] 
EBUR (0) JERETAEIEPHE UR BIRD Fashdf Pk, drAdobe2 S] ACN , RETORUE FUE PDF... — 
us EasyRecovery Professional V6.21.02 汉化 版 decies mM 
Ipsos) 。 能 名 和 从 恢复 丢失 的 数 固 以 及 重建 文件 系统 .…. mie 
TE) pum 
| yo se 
xu) wma 
LiveReg (Symantec Corporation) dic E 
Symantec ATH BARDA 2 Bs OURROT A — 
LiveUpdate 3.0 (Symantec Corporation) Akit Ce | 
Symantec (IBAR MAMAH. M LLESymantec BUR Internet... 
软件 管家 目前 版 本 : 2.6.1.1004 TESE 


4-7 管理 应 用 软件 


OE 


ASA dmm 


M 扫 当 完成 ， 在 您 的 系统 中 共 检 油 国 | 23 个 漏洞 ， 不 存在 任何 高 危 漏 洞 ， 无 需 修复 . 已 安装 (130) E;ENS(0) 已 屏蔽 (594) 设置 


Au 补丁 名 称 mé HARR " 
漏洞 是 因 系统 本身 存在 的 技术 缺陷 ， 往 
和 您 的 系统 不 存在 任何 高 危 漏 洞 ， 无 需 修 复 。 往 会 被 木马、 病毒 利 用 来 入 侵 计 算 机 
上 次 扫描 时 间 : 2010-07-27 08:26:20 zars 
补丁 是 不 是 安装 的 越 多 越 好 ?3 
功能 性 更 新 补丁 (23) - 这 些 补丁 用 于 更 新 系统 或 软件 的 功能 ,建议 您 根据 需要 选择 性 进行 安装 , 不 是 的 ， 加 果 安装 了 不 需要 安装 的 补 
丁 ,不 但 浪 则 系统 资源 ,还 有 可 能 导致 
Ep. 
Seo RM SE SIRE IE RRAIN 
能 安装 补丁 ， 节 省 系统 资源 ， 保 证 电脑 
安全 。 


it 全 不 造 导出 漏洞 信息 


图 4-8 修复 系统 漏洞 
单 击 “ 重 新 扫描 ”按钮 ,将 重新 扫描 系统 ,检查 漏洞 情况 。 
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5. 系统 修复 
如 图 4-9 所 示 , 在 这 里 可 以 一 键 修复 系统 的 诸多 问题 ,使 系统 迅速 恢复 到 “健康 
状态 ”。 


"5 E 


LIN #38% 木马 防火 培 x RS 防盗 号 


已 信任 项 (1) 


图 4-9 系统 修复 
选中 要 修复 的 项 , 单 击 “ 立 即 修复 ”按钮 ,会 立即 修复 系统 。 


6. 高 级 工具 


* 开机 启动 项 管理 : 如 图 4-10 和 图 4-11 所 示 ,在 这 里 可 以 设置 哪些 程序 可 以 开机 
启动 ,哪些 程序 不 启动 (计算 机 配置 低 , 设 置 为 全 部 不 启动 。 对 于 配置 低 的 计算 
机 ,杀毒 防护 软件 保留 一 种 即 可 ,计算 机 可 以 定期 杀毒 ,平时 不 要 开启 杀毒 软件 ) 。 

t 立即 修复 : 选中 要 修复 的 项 , 单 击 * 立 即 修复 ?按钮 ,将 立即 修复 。 


任务 4-3 宏 病 毒 和 网 页 病毒 的 防范 


1. 宏 病毒 


宏 病 毒 是 也 是 脚本 病毒 的 一 种 ,由 于 它 的 特殊 性 ,因此 在 这 里 单独 算 成 一 类 。 宏 病毒 
的 前 缀 是 Macro, 第 二 前 级 是 Word、Excel( 也 许 还 有 别 的 ) 之 一 。 凡 是 只 感染 Word 文档 
的 病毒 格式 是 : Macro. Word; 凡 是 感染 Excel 文档 的 病毒 格式 是 : 该 类 病毒 的 公有 特性 
是 能 感染 Office 系列 文档 ,然后 通过 Office 通用 模板 进行 传播 , 如: 著名 的 美丽 莎 
(Macro. Melissa) 。 
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 360280LT JL - 开机 加 加 EDET r? 
启动 项 | | 服务 项 | 任务 计划 | v -Raat 
目前 共有 0 个 启动 项 ,您 可 以 对 启动 建议 ,将 不 必要 的 程序 禁止 启动 , DOERGHURUN EI 

RESM BIRN 当前 状态 。 GEBUUX 

@ 没有 任何 启动 项 目 
口 显示 开机 启动 的 项 目 三 开启 开 机 时 间 小 助手 d) ubt RE 
图 4-10 开机 加 速 

13 360 高 级 工具 - 开机 加 加 Sure Educ X: 
局 动 项 。 服务 项 。 任务 计划 v 一 健 自动 优化 
目前 共有 2 个 服务 项 ,您 可 以 参考 启动 建议, 插 不 必要 的 程序 禁止 后 动 ,加 块 开机 过度 ! gi 
软件 名 称 [7 aub 。 emmusx F 

360 主 动 防御 服务  EIEZO 
FF E E HEBE) 
"7 msawsr. veme mesme 服 入 关闭 后 人 到.， SOTER  FNew (EBH 
Manager Security | 
ENE) 
DBEROIPSUIRIR UR PRAFIRAISTR. RRS, REE.. iil 
office 实 装 和 修改 支持 服务 - 3 MM mE 
用 于 支持 Ofice 升 级 等 ,不 六 要 开机 启动 。 TE NTE — MEME 
远程 控制 次 件 PcAnywhere 的 服务 _ 本 
禁止 后 ， HARENDER. PMB — USES SE 
T " B 
MEE, TIER ABA ORARE SRM Bumn ERES |SS 
Driver Config ee 一 一 一 
提供 终结 点 映射 程序 (endpoint mapper) LIRIE RPC 服务 。 FATEH (RLAR s 
口 REGSGHLERMURH [WIRT RSCHEIUR 如 开局 开机 时 间 小 助手 Ò BEIRIIRE 


4-11 开机 加 速 修复 操作 


一 个 宏 的 运行 ,特别 是 有 恶意 的 宏 程 序 的 运行 , 受 宏 的 安全 性 的 影响 是 最 大 的 ,如 果 
宏 的 安全 性 高 ,那么 没有 签署 的 宏 就 不 能 运行 ,甚至 还 能 使 部 分 Excel 的 功能 失效 。 所 以 
宏 病毒 在 感染 Excel 之 前 ,会 自行 对 Excel 的 宏 的 安全 性 进行 修改 ,把 宏 的 安全 性 设 
HAR? 

下 面 通过 一 个 实例 来 对 宏 病 毒 的 原理 与 运行 机 制 进行 分 析 。 

CD 启动 Word, 创 建 一 个 新 文档 。 
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(2) 在 新 文档 中 打开 工具 菜单 ,选择 宏 并 查看 宏 。 
(3) 为 宏 起 一 个 名 字 ,自动 宏 的 名 字 规 定 必须 为 autoexec。 
(D 单 击 “ 创 建 " 按 钮 ,如 图 4-12 所 示 。 


ZZW: 
[autoexec] J 


LEZAS] 
REE 


pedo] 
J3 mm0. 


ZMREW anam ë ë s 取消 


RAD: 
2011-12-19 Bi Lenovo User 


图 4-12 创建 宏 对 话 框 


G) 在 宏 代码 编辑 窗口 中 输入 Visual Basic 代码 ,调用 Windows 自 带 的 音量 控制 程 
序 , 如 图 4-13 所 示 。 


Normal - Wevgacros (代码 ) 


[LJ Ez] autoexec 


Sub autoexec O 


antoexec Macro 
BE 2011-12-19 由 Lenovo User 创建 


Shell ("C: \windows\systen32\sndvol32. exe “) 
End Sub 


图 4-13 RRA O 


(6) 关闭 宏 代码 编辑 窗口 ,将 文档 存盘 并 关闭 程序 。 

(7) 再 次 启动 刚 保存 的 文档 ,可 以 看 到 音量 控制 程序 被 自动 启动 ,如 图 4-14 所 示 。 

由 此 可 见 , 宏 病毒 主要 针对 Office 通用 模板 进行 传播 ,在 使 用 此 类 软件 的 时 候 应 该 
防止 该 病毒 。 


2. 网 页 病毒 


所 谓 网 页 病毒 ,就 是 网 页 中 含有 病毒 脚本 文件 或 Java 小 程序 , 当 打 开 网 页 时 ,这 些 恶 
意 程序 就 会 自动 下 载 到 硬盘 中 ,修改 注册 表 , 嵌 入 系统 进程 ; 当 系 统 重启 后 ,病毒 体 又 会 自 
我 更 名 、 复 制 . 再 伪装 ,进行 各 种 破坏 活动 。 

当 用 户 登 录 某 些 含有 网 页 病毒 的 网 站 时 ,网 页 病毒 便 被 悄悄 激活 ,这 些 病 毒 一 旦 激 
活 , 可 以 利用 系统 的 一 些 资源 进行 破坏 。 轻 则 修改 用 户 的 注册 表 , 使 用 户 的 首页 浏览 器 
标题 改变 , 重 则 可 以 关闭 系统 的 很 多 功能 , 装 上 木马 , 染 上 病毒 ,使 用 户 无 法 正常 使 用 计算 
机 系统 ,严重 者 则 可 以 将 用 户 的 系统 进行 格式 化 。 而 这 种 网 页 病毒 容易 编写 和 修改 .使 用 
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BRO EAO FEW SOO 帮助 0D 


4-14 音量 控制 程序 被 自动 启动 


户 防不胜防 。 

为 了 避免 被 查 杀 ,网 页 病毒 一 般 都 经 过 了 压 壳 处 理 , 所 以 常用 的 杀毒 软件 是 无 法 识别 
它们 的 ,因而 也 无 法 将 其 清除 。 如 果 想 清除 网 页 病毒 ,只 能 使 用 以 下 方法 。 

(1) 管理 Cookie 

在 IE 中 ,选择 “工具 ”>“Internet 选项 ”, 打 开 “ 隐 私 ” 对 话 框 ,这 里 设 定 了 “阻止 所 有 
Cookie" ," ig" ," rp eg" “中”“ 低 ”“ 接 受 所 有 Cookie” 六 个 级 别 ( 默 认为 “中 ”) ,只 要 拖 动 
滑 块 就 可 以 方便 地 进行 设 定 , 而 单 击 下 方 的 “编辑 按钮 ,在 “网 站 地 址 ?中 输入 特定 的 网 
址 ,就 可 以 将 其 设 定 为 允许 或 拒绝 它们 使 用 Cookie。 

(2) 禁用 或 限制 使 用 Java 程序 及 ActiveX 控件 

在 网 页 中 经 常 使 用 Java Java Applet, ActiveX 编写 的 脚本 ,它们 可 能 会 获取 用 户 标 
识 、IP 地 址 以 至 口令 ,甚至 会 在 机 器 上 安装 某 些 程序 或 进行 其 他 操作 ,因此 应 对 Java, 
Java 小 程序 脚本 、ActiveX 控件 和 插件 的 使 用 进行 限制 。 打 开 “Internet 选项 ”安全 ”一 
“ 自 定义 级 别 ”, 就 可 以 设置 “ActiveX 控件 和 插件 ”Java、“ 脚 本 ”“ 下 载 "“ 用 户 验证 ”以 
及 其 他 安全 选项 。 对 于 一 些 不 太 安全 的 控件 或 插件 以 及 下 载 操作 ,应 该 子 以 禁止 .限制 ， 
至 少 要 进行 提示 。 

(3) 防止 泄露 自己 的 信息 

默认 条 件 下 ,用 户 在 第 一 次 使 用 Web 地 址 、 表 单 、 表 单 的 用 户 名 和 密码 后 ,同意 保存 
密码 ,在 下 一 次 再 进入 同样 的 Web 页 及 输入 密码 时 ,只 需 输入 开头 部 分 ,后 面 的 就 会 自动 
完成 ,给 用 户 带 来 了 方便 ,但 同时 也 留 下 了 安全 隐患 ,不 过 可 以 通过 调整 “自动 完成 ”功能 
的 设置 来 解决 。 设置 方法 如 下 : 依次 单 击 “Internet 选项 ”>“ 内 容 *”>“ 自 动 完 成 ”, 打 开 
“自动 完成 设置 "对 话 框 ,选中 要 使 用 的 “自动 完成 " 复 选 项 。 

(4) 清除 已 浏览 过 的 网 址 

在 “Internet 选项 ”对 话 框 中 的 “常规 ”标签 下 单 击 历史 记录 区 域 的 “清除 历史 记录 ” 按 
钮 即 可 。 若 只 想 清除 部 分 记录 , 单 击 IE 工具 栏 上 的 “历史 ”按钮 ,在 左 侧 的 地 址 历史 记录 
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中 找到 希望 清除 的 地 址 或 其 他 网 页 , 右 击 ,从 弹出 的 快捷 菜单 中 选择 “删除 ”命令 。 

(5) 清除 已 访问 过 的 网 页 

为 了 加 快 浏览 速度 ,IE 会 自动 把 浏览 过 的 网 页 保存 在 缓存 文件 夹 下 。 当 确认 不 再 需 
要 已 经 浏览 过 的 网 页 时 ,在 此 选中 所 有 网 页 并 删除 即 可 。 或 者 在 “Internet 选项 ”的 “ 常 
规 ? 标 签 下 单 击 “ Internet 临时 文件 ”项 目 中 的 “删除 文件 ”按钮 ,在 打开 的 “删除 文件 ”对 话 
框 中 选中 “删除 所 有 脱 机 内 容 ”, 单 击 “ 确 定 ” 按 钮 ,这 种 方法 会 遗留 少许 Cookie 在 文件 夹 
内 ,为 此 正在 “删除 文件 ”按钮 旁边 增加 了 一 个 “删除 Cookie” 的 按钮 ,通过 它 可 以 很 方便 
地 删除 遗留 的 内 容 。 


任务 4-4 利用 自 解压 文件 携带 木马 程序 


随 着 人 们 安全 意识 的 提高 和 杀毒 软件 的 安全 防范 技术 的 提升 ,木马 很 难 在 计算 机 系 
统 中 出 现 , 木 马 开始 进行 伪装 隐藏 自己 的 行为 , 利 
用 WinRAR 捆绑 木马 就 是 其 中 的 手段 之 一 。 自 解 
压 文 件 图 标 如 图 4-15 所 示 。 

攻击 者 把 木马 和 其 他 可 执行 文件 ,比方 说 
Flash 动画 放 在 同一 个 文件 夹 下 ,然后 将 这 两 个 文 
件 添加 到 档案 文件 中 ,并 将 文件 制作 为 exe 格式 
的 自 释 放 文 件 , 这 样 , 当 双击 这 个 自 释 放 文 件 时 ， 图 4-15 自 解压 文件 
就 会 在 启动 Flash 动画 等 文件 的 同时 悄悄 地 运行 
木马 文件 ,就 达到 了 木马 种 植 者 的 目的 , 即 运行 木马 服务 端 程序 。 而 这 一 技术 令 用 户 
很 难 察觉 到 ,因为 并 没有 明显 的 征兆 存在 ,所 以 目前 使 用 这 种 方法 来 运行 木马 非常 
普遍 。 

通过 一 个 实例 来 了 解 这 种 捆绑 木马 的 方法 。 目 标 是 将 一 个 Flash 动画 (1. swf) 和 木 
马 服务 端 文件 (1. exe) 捆 绑 在 一 起 ,做 成 自 释放 文件 ,如 果 你 运行 该 文件 ,在 显示 Flash 动 
画 的 同时 就 会 中 木马 。 

具体 方法 如 下 。 

(1) 把 这 两 个 文件 放 在 同一 个 目录 下 , 按 住 Ctrl 键 的 同时 用 鼠标 选中 1. swf 和 
1. exe, 然 后 右 击 , 在 弹出 菜单 中 选择 “添加 到 压缩 文件 "命令 ,会 出 现 一 个 标题 为 “压缩 文 
件 名 和 参数 ”的 对 话 框 ( 见 图 4-16) ,在 该 对 话 框 的 “压缩 文件 名 ” 栏 中 输入 任意 一 个 文件 
名 ,比方 说 智力 游戏 .exe( 只 要 容易 吸引 别人 单 击 就 可 以 )。 注 意 ,文件 扩展 名 一 定 得 是 . 
exe( 也 就 是 将 “创建 自 释 放 格 式 档案 文件 ”选择 上 ) ,而 默认 情况 下 为 . rar, 要 改过 来 才 行 ， 
否则 无 法 进行 下 一 步 的 工作 。 

(2) 单 击 “ 高 级 ”选项 卡 ,然后 单 击 “ 自 解压 选项 ”按钮 ,会 出 现 一 个 选项 对 话 框 ,在 该 
对 话 框 的 “解压 路 径 ” 文 本 框 中 可 以 随便 填写 ,即使 设 定 的 文件 夹 不 存在 也 没有 关系 ,因为 
在 自 解压 时 会 自动 创建 目录 。 再 打开 “设置 ”选项 卡 , 在 “解压 后 运行 "文本 框 中 输入 
1. exe, 也 就 是 填 人 攻击 者 打算 隐蔽 运行 的 木马 文件 的 名 字 ,如 图 4-17 所 示 。 

(3) 单 击 “ 模 式 ” 选 项 卡 , 在 该 选项 卡 中 把 “全 部 隐藏 * 选 项 选中 ,这 样 不 仅 安全 ,而 且 
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E 压 第 文件 名 和 地 数 


| 选项 | 文件 | 备份 lma [um | 


更 吉方 式 中 

] [Emenn 
ERNER ESHA 
ORW 压缩 后 删除 源 文件 D 
Omo [V] ORE AMISISSE E QD 
创建 固 实 压缩 文件 O 


EIRO 
L3 
压缩 为 分 卷 , 大 小 久 ) 

S) 


4-16 制作 自 解压 文件 


隐蔽 ,不 易 被 人 所 发 现 。 可 以 改变 这 个 自 释放 文件 的 窗口 标题 和 图 标 , 单 击 “ 文 字 和 图 标 ” 
选项 卡 ,在 该 选项 卡 的 “ 自 解压 文件 窗口 标题 ”和 * 自 解压 文件 窗口 中 显示 的 文本 中 输入 
你 想 显示 的 内 容 , 这 样 更 具备 欺骗 性 ,如 图 4-18 所 示 。 


高 级 自 解 压 选 项 


[ xw [| x: [ommo 
*A 设置 mz | 
安装 程序 
解压 后 运行 QD 


1. exe 


高 级 自 解压 选项 


自 解压 文件 窗口 标题 C) 


自 解压 文件 窗口 中 显示 的 文本 Q) 


解压 前 运行 @) 


口 等 待 并 返回 退出 码 从 文件 加 葡文 本 QD) 
自 定义 自 解压 文件 油 标 和 图 标 
AME EMERE © 


从 文件 加 载 自 解压 文件 图 标 I) NE. 


C» La J[ we» ) 
图 4-17 加 入 木马 程序 图 4-18 设置 显示 的 文本 


(4) 最 后 , 单 击 “ 确 定 ” 按 钮 ,返回 到 “压缩 文件 名 和 参数 ”对 话 框 。 单 击 “ 注 释 ” 选 项 
卡 , 会 看 到 如 图 4-19 所 示 的 内 容 ,这 是 WinRAR 根据 你 前 面 的 设 定 自动 加 入 的 内 容 , 其 
实 就 是 自 解压 脚本 命令 Setup=l. exe 表示 释放 后 运行 1. exe 文件 即 木马 服务 端 文件 。 
而 Silent 代表 是 否 隐藏 文件 ,赋值 为 1 则 代表 将 文件 “全 部 隐藏 ”。 


一 般 说 来 ,黑客 为 了 隐蔽 文件 ,会 修改 上 面 的 自 释放 脚本 命令 ,比如 他 们 会 把 脚本 改 
为 如 下 内 容 : 
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E 压 第 文件 名 和 地 数 


常规 [高 级 [xm [文件 [备份 [时间 | 注释 | 


从 文件 中 加 载 注释 下) 


手动 输入 注释 内 容 O 
;下 面 的 注释 包 合 自 解压 肚 本 命令 


Setup=1. exe 
Pt 


4-19 完成 释放 后 运行 操作 


Setup- 1.exe 

Setup- explorer.exe l.swf 

Silent-1 

Overwrite- l 

其 实 就 是 加 上 了 Setup- explorer. exe 1. swf 这 一 行 , 单 击 “ 确 定 ” 按 钮 后 ,就 会 生成 
一 个 名 为 “智力 游戏 . exe” 的 自 解 压 文件 ,现在 只 要 有 人 双击 该 文件 ,就 会 打开 1. swf 这 个 
动画 文件 ,而 当 人 们 津津 有 味 地 欣赏 漂亮 的 Flash 动画 时 ,木马 程序 1. exe 已 经 悄悄 地 运 
行 了 。 更 可 怕 的 是 ,在 WinRAR 中 就 可 以 把 自 解压 文件 的 默认 图 标 换 掉 , 可 以 换 成 你 熟 
悉 的 软件 的 图 标 。 

针对 以 上 安全 威胁 ,采用 的 防范 方法 是 : 用 鼠标 右 击 WinRAR 自 解 压 文件 ,在 弹出 
菜单 中 选择 “属性 ”命令 ,在 打开 的 “属性 ”对 话 框 中 会 发 现 比 普通 的 EXE 文件 多 出 两 个 标 
签 ,分 别 是 :“ 档 案 文 件 ”" 和 “注释 ”, 单 击 “ 注 释 ” 标 签 ,看 其 中 的 注释 内 容 , 就 会 发 现 里 面 含 
有 哪些 文件 ,这 是 识别 用 WinRAR 捆绑 木马 文件 的 最 好 方法 。 

还 有 一 种 办 法 : 遇 到 自 解压 程序 不 要 直接 运行 ,而 是 选择 右键 菜单 中 的 “用 WinRAR 
打开 ”命令 ,这样 就 会 直接 查看 压缩 的 具体 文件 了 。 


任务 4-5 典型 木马 案例 


木马 的 全 称 为 特洛伊 木马 , 源 自古 希腊 神话 。 木 马 是 隐藏 在 正常 程序 中 的 具有 特殊 
功能 的 恶意 代码 ,是 具备 破坏 、 删 除 和 修改 文件 发 送 密 码 、 记 录 键 盘 、 实 施 DOS 攻击 甚至 
完全 控制 计算 机 等 特殊 功能 的 后 门 程序 。 它 隐藏 在 目标 计算 机 里 ,可 以 随 计算 机 自动 启 
动 并 在 某 一 端口 监听 来 自控 制 端的 控制 信息 。 

(1) 木马 的 特性 : 木马 程序 为 了 实现 其 特殊 功能 ,一 般 应 该 具有 以 下 性 质 : 伪装 性 、 
隐藏 性 、 破 坏 性 、 窃 密 性 。 

(2) 木马 的 入 侵 途 径 : 木马 入 侵 的 主要 途径 是 通过 一 定 的 欺骗 方法 ,如 更 改 图 标 、 把 
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木马 文件 与 普通 文件 合并 ,欺骗 被 攻击 者 下 载 并 执行 做 了 手脚 的 木马 程序 ,就 会 把 木马 安 
装 到 被 攻击 者 的 计算 机 中 。 木 马 也 可 以 通过 Script, ActiveX 及 ASP、CGI 交互 脚本 的 方 
式 人 侵 , 攻 击 者 可 以 利用 浏览 器 的 漏洞 诱导 上 网 者 单 击 网 页 ,这 样 浏览 器 就 会 自动 执行 脚 
本 ,实现 木马 的 下 载 和 安装 。 木 马 还 可 以 利用 系统 的 一 些 漏洞 ,获得 控制 权限 ,然后 在 被 
攻击 的 服务 器 上 安装 并 运行 木马 。 

(3) 木马 的 种 类 。 

CD 按照 木马 的 发 展 历程 ,可 以 分 为 4 个 阶段 : 第 1 代 木 马 是 伪装 型 病毒 ;第 2 代 木 马 
是 网 络 传播 型 木马 ;第 3 代 木 马 在 连接 方式 上 有 了 改进 ,利用 了 端口 反弹 技术 ,例如 灰 铝 
子 木马 ;第 4 代 木 马 在 进程 隐藏 方面 做 了 较 大 改动 ,让 木马 服务 器 端 运行 时 没有 进程 ,网 
络 操作 插入 到 系统 进程 或 者 应 用 进程 中 完成 ,例如 广 外 男生 木马 。 

[OE 按照 功能 分 类 ,木马 又 可 以 分 为 : 破坏 型 木马 、 密 码 发 送 型 木马 、 服 务 型 木马 、 
DOS 攻击 型 木马 代理 型 木马 .远程 控制 型 木马 。 

(4) 木马 的 工作 原理 。 

下 面 简单 介绍 一 下 木马 的 传统 连接 技术 、 反 弹 端口 技术 和 线程 插入 技术 。 

(D 木马 的 传统 连接 技术 ;C/S 木马 原理 如 图 4-20 所 示 。 第 1 代 和 第 2 代 木 马 采用 的 
都 是 C/S 连接 方式 ,这 都 属于 客户 端 主动 连接 方式 。 服 务 器 端的 远程 主机 开放 监听 端 等 
待 外 部 的 连接 , 当 入 侵 者 需要 与 远程 主机 连接 时 , 便 主动 发 出 连接 请 求 ,从 而 建立 连接 。 


à A 请 求 建立 连接 A 


De 服务 器 端 
| Qy- 连接 建立 成 功 e, 
DT me 


Æ 4-20 C/S 木马 原理 


© 木马 的 反弹 端口 技术 ; 随 着 防火 墙 技 术 的 发 展 , 它 可 以 有 效 拦截 采用 传统 连接 的 
方式 。 但 防火 墙 对 内 部 发 起 的 连接 请 求 则 认为 是 正常 连接 。 第 3 代 和 第 4 代 “ 反 弹 式 ” 木 
马 就 是 利用 这 个 缺点 ,其 服务 器 端 程序 主动 发 起 对 外 连接 请 求 ,再 通过 某 些 方式 连接 到 木 
马 的 客户 端 , 如 图 4-21 和 图 4-22 所 示 。 


客户 中 WA |A 

过 

& Q- 连接 建立 成 功 e, i 
客户 中 服务 中 


4-21 反弹 端口 连接 方式 (1) 
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A DES 


& 人 代理 服务 器 (保存 客户 端 P、 端 口 ) i o, 
` : Ws 
CS "LS. 


代理 服务 器 (保存 客户 端 P、 端 口 ) 


& A 要 求 建立 连接 A "—-— 
- 


代理 服务 器 (保存 客户 端 P、 端 口 ) 


入 连接 建立 成 功 D — 
& à SS 1 
客户 端 图 


代理 服务 器 (保存 客户 端 P、 端 口 ) 
4-22 反弹 端口 连接 方式 (2) 


mam> 


@ 线程 插入 技术 : 系统 会 分 配 一 个 虚拟 的 内 存 空 间 地 址 段 给 这 个 进程 ,一 切 相关 的 
程序 操作 都 会 在 这 个 虚拟 的 空间 中 进行 。 "线程 插入 ”技术 就 是 利用 了 线程 之 间 和 运行 的 相 
对 独立 性 ,使 木马 完全 地 融 进 了 系统 的 内 核 。 这 种 技术 把 木马 程序 作为 一 个 线程 ,把 自身 
插入 其 他 应 用 程序 的 地 址 空间 。 系 统 运行 时 会 有 许多 的 进程 ,而 每 个 进程 又 有 许多 的 线 
程 ,这 就 导致 了 查 杀 利 用 “线程 插入 "技术 木马 程序 的 难度 。 

综 上 所 述 , 由 于 采用 技术 的 差异 ,造成 木马 的 攻击 性 和 隐蔽 性 有 所 不 同 。 第 2 代 木 
马 , 如 “冰河 ”, 因 为 采用 的 是 主动 连接 方式 ,在 系统 进程 中 非常 容易 被 发 现 ,所 以 从 攻击 性 
和 隐蔽 性 来 说 都 不 是 很 强 。 第 3 代 木 马 ,如 “ 灰 锣 子 ”, 则 采用 了 反弹 端口 连接 方式 ,这 对 
F 绕 过 防火 墙 是 非常 有 效 的 。 第 4 代 木 马 , 如 * 广 外 男生 ”, 在 采用 反弹 端口 连接 技术 的 同 
时 ,还 采用 了 “线程 插入 "技术 ,这 样 木马 的 攻击 性 和 隐蔽 性 就 大 大 增强 了 ,可 以 说 第 4 代 
木马 代表 了 当今 木马 的 发 展 趋势 。 


子 任务 一 “冰河 ”木马 的 使 用 


双击 “冰河 木马 . rar" 文 件 , 将 其 进行 解压 ,解压 路 径 可 以 自 定义 。 解 压 过 程 如 图 4-23— 
图 4-25 所 示 。 

冰河 木马 共有 两 个 应 用 程序 , 见 图 4-26, 其 中 win32. exe 一 个 是 服务 器 程序 ,属于 木 
马 受 控 端 程序 ,种 木马 时 ,我 们 需 将 该 程序 放 入 受 控 端 的 计算 机 中 ,然后 双击 该 程序 即 可 ; 
另 一 个 是 木马 的 客户 端 程序 ,属于 木马 的 主 控 端 程序 。 
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GE GR @ 


Tc 


选 定 项 目 可 以 查看 其 说 明 。 


WINNT odbcconf — TCPIO.TCP REME 。 冰河 森马 
总 计 ; 4.88 6B 


D CASA: 2.538 
O TASA: 2.3468 


4-23 选中 欲 解压 的 文件 


2003-11-29 .... 


2003-8-19 1... 
2003-11-29 ,,, 
2001-8-18 1... 


4-24 查看 解压 文件 中 包含 的 文件 
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选 定 项 目 可 以 查看 其 说 明 。 
另 请 参阅 ; 


4-26 ”冰河 木马 共有 两 个 应 用 程序 


在 种 木马 之 前 ,我 们 在 受 控 端 计算 机 中 打开 注册 表 , 查 看 打开 txtfile 的 应 用 程序 注 
册 项 : HKEY_CLASSES_ROOT\txtfile\shell\open\command, 可 以 看 到 打开 的 . txt 文 
件 默认 值 是 %SystemRoot%system32\NOTEPAD. EXE%1, 见 图 4-27。 

再 打开 受 控 端 计算 机 的 C: \ winnt\system32 文件 夹 (XP 系统 为 C:\ windows\ 
system32) ,我 们 无 法 找到 sysexplr. exe 文件 ,如 图 4-28 所 示 。 

现在 可 以 在 受 控 端 计算 机 中 双击 win32. exe 图 标 ,将 木马 种 入 受 控 端 计算 机 中 ,表面 
上 好 像 没 有 任何 事情 发 生 。 我 们 再 打开 受 控 端 计算 机 的 注册 表 , 查 看 打开 . txt 文件 的 应 
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lH GE 


REG EXPAND SZ  %SystemRoot%\system3Z\NOTEPAD.EXE %1 


田 Trust. PolicyManager.1 
8 C3 Trust.PobcyPackage 


EHE TxCTx TransactionContext. 
EHE TxcTx.TransactionContextEx 


Gl umocontenb-dasses:catalog 
sc ERA | 


EHXPEBSRUIENIRCER 
的 文件 ,没有 必要 修改 其 中 的 内 


JR B RTL OR COUR. 


4-28 无 法 找到 sysexplr. exe 文件 


用 程序 注册 项 : HKEY_CLASSES_ROOT\txtfile\shell\open\command, 可 以 发 现 ,这 时 
它 的 值 为 C:\WINNT\system32\SYSEXPLR. EXE%1, 见 图 4-29。 
再 打开 受 控 端 计算 机 的 C:\WINNT\System32 文件 夹 ,这 时 可 以 找到 sysexplr. exe 
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文件 ,如 图 4-30 所 示 。 


BHA Trust'Gobak.1 
EHE Trust PolcyManager. 


外国 Trust. PolicyManager. 1 

C3 Trust. PolcyPackage. 

四国 Trust PolcyPackage 1 

EHE Trust.TrustManager 

由 国 Trust. TrustManager.1 

CI) Trust. volatiePolicyManager. 
EE Trost. VolatlePollcyManager.1 
& CJ Tsuoor.TSuooTCuL.t 
BE tefie 

C3 ttffile 

EHE TxCTx.TransactionContext 
由 多 TxCTx.TransactionContextEx 


恋 文 件 严 中 包含 系统 正常 运行 所 需 
的 文件 ,没有 必要 修改 其 中 的 内 


选 定 项 目 可 以 查看 其 说 明 , 


图 4-30 ”找到 文件 


在 主 控 端 计算 机 中 双击 Y_Client. exe 图 标 ,打开 木马 的 客户 端 程序 ( 主 控 程序 )。 可 
以 看 到 如 图 4-31 所 示 界 面 。 
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ESKAE NTE] 


图 4-31 打开 木马 的 客户 端 程序 


在 该 界面 的 “访问 口令 ”编辑 框 中 输入 访问 密码 12211987 ,然后 单 击 “ 应 用 ”按钮 , 见 
图 4-32。 


4-32 设置 密码 


单 击 “ 设 置 ">“ 配 置 服务 器 程序 ”菜单 项 对 服务 器 进行 配置 , 见 图 4-33, 弹 出 服务 器 
配置 对 话 框 。 

在 “服务 器 配置 "对话 框 中 的 “ 待 配置 文件 ”选项 中 进行 设置 ,如 图 4-34 所 示 , 单 击 
“…” 按 钮 ,在 打开 对 话 框 中 找到 服务 器 程序 文件 win32. exe, 打 开 该 文件 ,如 图 4-35 所 示 ; 
再 在 访问 口令 框 中 输入 12211987, 然 后 单 击 “ 确 定 ” 按 钮 ( 见 图 4-36) ,就 对 服务 器 配置 完 
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defaultPerfLog txt 32 2006-11-15 11:45:26 


图 4-33 选择 菜单 


4-35 选择 win32. exe 文件 
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图 4-36 输入 “访问 口令 ” 


现在 在 主 控 端 程序 中 添加 需要 控制 的 受 控 端 计算 机 , 先 在 受 控 端 计算 机 中 查看 其 IP 
地 址 ,如 图 4-37 所 示 ( 本 例 中 为 172. 17. 8. 62) 。 


图 4-37 查看 IP 地 址 


这 时 可 以 在 主 控 端 计算 机 程序 中 添加 受 控 端 计算 机 ,详细 过 程 如 图 4-38 和 图 4-39 
所 示 。 

当 受 控 端 计算 机 添加 成 功 之 后 ,可 以 看 到 如 图 4-40 所 示 界 面 。 

也 可 以 采用 自动 搜索 的 方式 添加 受 控 端 计算 机 ,方法 是 单 击 “文件 ”一 “自动 搜索 ” 命 
令 , 打 开 “ 搜 索 计 算 机 ”对 话 框 ( 见 图 4-41). 

搜索 结束 时 ,可 以 发 现在 搜索 结果 栏 中 IP 地 址 为 172. 17. 8. 62 的 IP 地 址 左 侧 的 状 
d OK ,表示 搜索 到 IP 地 址 为 172. 17. 8. 62 的 计算 机 已 经 中 了 冰河 木马 , 且 系 统 自 动 
将 该 计算 机 添加 到 主 控 程序 中 , 见 图 4-42。 

将 受 控 端 计算 机 添加 后 ,可 以 浏览 受 控 端 计算 机 中 的 文件 系统 , 见 图 4-43 一 图 4-45。 

还 可 以 对 受 控 端 计算 机 中 的 文件 进行 复制 与 粘贴 操作 , 见 图 4-46 和 图 4-47。 
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HEVEL 


4-38 添加 主机 


添加 计算 机 


4-40. 受 控 端 计算 机 添加 成 功 
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TERHI 


图 4-41 “搜索 计算 机 ”对 话 框 


图 4-43 受 控 计 算 机 中 文件 (1) 


DEZIHETIT 


G.. 
E Documents and S... 


180528 2003-8-19 12:05:04 
05:04 


arcsetup. exe 


boot. ini 


444. 受 控 计 算 机 中 文件 (2) tii 
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Aedk 

国 «0e8e394s876bgbe0e 
j2sakl 4.2 01 
Gamar 

Progs Files 


[a] defaut tPer flog tet 32 2006-11-15 11:45:28 
le] systen Volume I. 0 2006-11-7 14:28:10 


图 4-45 受 控 计 算 机 中 文件 (3) 


kF v8.2 [38 YE 


32 2006-11-15 11:45:26 
System Volume I... 0 2006-11-T 14:28:10 


图 4-46 复制 文件 
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KF v8.2 [38 YE 


4-47. 粘贴 文件 


在 受 控 端 计算 机 中 进行 查看 ,可 以 发 现在 相应 的 文件 夹 中 确实 多 了 一 个 刚 复制 的 文 
件 , 见 图 4-48, 该 图 为 受 控 端 计算 机 中 文件 夹 。 


修改 时 间 ; 2006-11-15 11:45 


大 小 : 32 字 节 
属性 : GE) 


图 4-48 刚 复制 的 文件 


可 以 在 主 控 端 计算 机 上 观看 受 控 端 计算 机 的 屏幕 ,方法 见 图 4-49 和 图 4-50。 

这 时 在 屏幕 的 左上 角 有 一 个 窗口 ,该 窗口 中 的 图 像 即 为 受 控 端 计算 机 的 屏幕 , 见 
图 4-51. 

如 果 将 左上 角 的 窗口 全 屏 显 示 ,可 得 如 图 4-52 所 示 效 果 ( 屏 幕 的 具体 状态 应 视 具 体 
实验 而 定 ) 。 
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ECILUITI MM o 
文件 [E] ”编辑 [四 。 设置 [G] EHH 
UN xEZCR 


z| wa: fes mene: AA) 


二 


图 4-49 “捕获 屏幕 ”命令 
[mas 
图 像 格式 : frr zi 


me CL] 
masm: [T [ —— 


aa] an 


图 4-50 “图 像 参数 设 定 " 对 话 框 


我 的 电脑 
fa Localhost 
8B hosti 
EH 172. 17.8.62 


图 4-51 显示 受 控 端 计算 机 的 屏幕 
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4-52 ”全屏 显示 


在 受 控 端 计算 机 上 进行 验证 后 发 现 : 主 控 端 捕获 的 屏幕 和 受 控 端 上 的 屏幕 非常 吻 


SRNA: 2006-11-15 11:46. 
大 小 :所 字 节 
MEER) 


执行 复制 、 粘 贴 后 ， 服 务 器 计算 机 (E Ch E 


4-53. Xx XE PE DERE C 
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也 可 以 通过 屏幕 来 对 受 控 端 计算 机 进行 控制 ,方法 见 图 4-54, 进 行 控制 时 ,我 们 会 发 
现 操作 远程 主机 ,就 好 像 在 本 地 机 进行 操作 一 样 。 


冰河 Y8.2[ 3 2 i 


4-54 屏幕 控制 


还 可 以 通过 冰河 信使 功能 和 服务 器 方 进行 聊天 ,具体 见 图 4-55 一 图 4-57, 当主 控 端 
发 起 信使 通信 之 后 , 受 控 端 也 可 以 向 主 控 端 发 送 消息 。 


KF v8.2 [38 tl #9 


4-55 ”选择 “冰河 信使 "命令 
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图 4-56 “冰河 信使 ”对话 框 图 4-57 “信使 服务 ”对 话 框 


子 任务 二 IküYAS 


CD 打开 虚拟 机 ,开启 Windows Server 2003(A) 5j Windows Server 2003(B) ,将 其 
网 络 设备 器 设置 在 同一 局 域 网 内 ,例如 VMnet2, 如 图 4-58 所 示 。 


en ml 
r7 mm ano 
-—— 39 MG Deseo 
Qa id 
Bas ssy 5 
ovo (oe) 他 用 文件 Cue SLI bo Fiesta 
E OMA BIET) 
BL LL 
Lm Boes O MAT: RABATBAN P st) 
ERT, p O hoton: Sj. — ALBIN. 
ns oaen * niic Sn 
ee 00 
cape: 
[anma] zm ] 
Laman. || wmm ] 
Cu Cw J| «m ) 


4-58 “虚拟 机 设置 "对话 框 


(2) 打开 * 灰 鸽子 ”, 并 查看 本 机 IP 地 址 ,如 图 4-59 所 示 。 

(3) 单 击 配置 服务 程序 ,新建 一 个 木马 病毒 ,如 图 4-60 所 示 。 

可 设置 密码 也 可 不 设置 。 

(4) 将 生产 的 木马 病毒 设法 放 入 目标 主机 并 使 其 运行 ,如 图 4-61 所 示 。 

(5) 目标 主机 运行 后 ,本 机 灰 鲍 子 显示 其 已 经 登录 ,如 图 4-62 所 示 。 

(6) 我 们 可 对 目标 及 进行 下 载 及 上 传 等 基本 操作 。 还 可 以 进行 更 深层 次 的 控制 , 例 
如 屏幕 捕捉 与 控制 ,广播 ,关机 、 开 机 ,注册 表 的 编辑 等 ,如 图 4-63 所 示 ( 看 方 框 标识 处 ) 。 


107 


网 络 安全 实用 项 目 教程 


aone: i RARABRRRT 在 Te (ERRE) 


4-60 “服务 器 配置 ?对话 框 


盟 seve me wo 应用 程序 2012-924 13:30 A 


4-61 将 木马 病毒 放 入 目标 主机 


4-62 显示 木马 病毒 已 登录 
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4-63 对 目标 进行 深层 控制 


CO 灰 秽 子 木 马 的 伪装 一 一 木马 拥 绑 器 。 现 今 社 会 杀毒 软件 的 辨识 度 已 然 很 高 ,而 
人 们 的 警惕 度 也 越 来 越 高 ,木马 要 想 成 功 地 在 目标 主机 上 和 运行 ,必然 要 做 一 定 的 伪装 ,如 
图 4-64 所 示 。 


4-64 ”伪装 木马 


生成 一 个 可 执行 文件 ,虽然 风险 也 很 高 ,但 不 失 为 一 种 伪装 木马 的 方法 。 
如 图 4-65 显示 的 是 木马 分 离 器 。 


Sce o Ww chs ena 
E: ss A. 
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图 4-65 木马 分 离 器 109 
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子 任务 三 ” 广 外 男生 木马 


(1) 在 计算 机 上 生成 一 个 扩展 名 为 . exe 的 文件 ,然后 把 它 放 在 虚拟 机 里 面 ,如 图 4-66 
和 图 4-67 所 示 。 


广 让 男生 服务 端 生成 向 导 


x 
一 

GWBoy 2003 
EWAN C SHIATK anoa CORTOX 3OFCWIE IV PEOC E 


G Wai TSP^mUTEEI 
Pri (ai 
EPRA FOT) p 


t-5p | T-5» | mo | 


图 4-66 生成 . exe 文件 (1) 


生成 文件 | 

ITE ENSISERS 

mt a, me 

ELENE 

peu 
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EA r-sam 


4-67 ÆR. exe 文件 (2) 


(2) 运行 程序 ,在 广 外 男生 客户 端 软件 中 会 出 现 虚 拟 机 的 IP 地 址 ,如 图 4-68 所 示 。 
要 运行 文件 或 命令 ,可 以 打开 如 图 4-69 所 示 对 话 框 。 

(3) 在 远程 登录 注册 表 中 也 可 以 看 到 虚拟 机 的 信息 ,如 图 4-70 所 示 。 

(4) 在 进程 与 服务 里 面 可 以 关闭 或 写 信息 到 对 方 的 计算 机 上 ,如 图 4-71 所 示 。 

(5) 在 虚拟 机 中 运行 命令 ,如 图 4-72 Brzn 

由 此 即 完成 了 对 目标 计算 机 系统 的 入 侵 。 


任务 4-6 第 四 代 木 马 的 防范 


通过 任务 4-5 的 学 习 , 我 们 认识 到 了 木马 的 危害 性 ,所 以 木马 的 防范 是 非常 重要 的 。 
木马 程序 相关 技术 发 展 至 今 ,已 经 经 历 了 4 代 : 第 一 代 , 即 是 简单 的 密码 窃取 、 发 送 等 。 
第 二 代 木 马 ,在 技术 上 有 了 很 大 的 进步 ,通过 修改 注册 表 , 让 系统 自动 加 载 并 实施 远程 控 
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图 4-70 选择 登录 注册 表 中 查看 虚拟 机 信息 
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图 4-71 在 对 方 计算 机 上 写 信 息 


mur 


图 4-72 在 虚拟 机 上 运行 命令 


制 。 冰 河 可 以 说 是 国内 木马 的 典型 代表 之 一 。 第 三 代 本 马 在 数据 传递 技术 上 又 做 了 较 多 
的 改进 ,出 现 了 ICMP 等 类 型 的 木马 ,利用 畸形 报 文 传递 数据 ,增加 了 查 杀 的 难度 。 第 四 
代 木 马 在 进程 隐藏 方面 做 了 较 大 的 改动 ,采用 了 内 核 插 入 式 的 嵌 和 方式, 利用 远程 插入 线 
程 技术 ,嵌入 DLL 线程 ,实现 了 对 木马 程序 的 隐藏 ;并 达到 了 良好 的 隐藏 效果 。 

常见 木马 的 危害 显而易见 ,防范 的 主要 方法 有 以 下 方面 . 

CD 提高 防范 意识 ,不 要 打开 陌生 人 传 来 的 可 疑 邮件 和 附件 。 确 认 来 信 的 源 地 址 是 否 
合法 。 

@ 如 果 网 速 变 慢 ,往往 是 因为 入 侵 者 使 用 的 木马 抢占 带宽 。 双 击 任务 栏 右 下 角 连 接 
图 标 ,仔细 观察 发 送 “ 已 发 送 字 节 ”项 ,如 果 数 字 比 较 大 ,可 以 确认 有 人 在 下 载 你 硬盘 的 文 
件 , 除 非 你 正 使 用 FTP 等 协议 进行 文件 传输 。 

© 察看 本 机 的 连接 ,在 本 机 上 通过 netstat-an( 或 第 三 方程 序 ) 查 看 所 有 的 TCP/ 
UDP 连接 , 当 有 些 IP 地 址 的 连接 使 用 不 常见 的 端口 与 主机 通信 时 ,这 个 连接 就 需要 进 一 
步 分 析 。 

@ 木马 会 通过 注册 表 启 动 .所 以 可 以 通过 检查 注册 表 来 发 现 木 马 在 注册 表 里 留 下 的 
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© 使 用 杀毒 软件 和 防火 墙 。 

第 四 代 木 马 在 进程 隐藏 方面 做 了 较 大 的 改动 ,不 再 采用 独立 的 EXE 可 执行 文件 形 
式 , 而 是 改 为 内 核 嵌 入 方式、 远程 线程 插入 技术 、 挂 接 PSAPI 等 ,这 些 木马 也 是 目前 最 难 
对 付 的 。 针 对 第 四 代 木 马 有 以 下 的 防范 方法 。 


1. 通过 自动 运行 机 制 查 木 马 


Q) 注册 表 启 动 项 

单 击 “ 开 始 ” 一 “运行 ”命令 ,在 打开 的 “运行 "对话 框 中 输入 regedit. exe, 打 开 注 册 表 编辑 
器 ,依次 展开 HKEY CURRENT | USER/Software/ Microsoft/ Windows/CurrentVersion、 
HKEY LOCAL MACHINE/Software/Microsoft/ Windows/ Current Version. & fi Wr f3 LA Run 
开头 的 项 下 面 是 否 有 新 增 的 和 可 疑 的 键 值 。 也 可 以 通过 键 值 所 指向 的 文件 路 径 来 判断 是 新 
安装 的 软件 还 是 木马 程序 。 

另外 , HKEY LOCAL. MACHINE/Software/classes/exefile/shell/open/command 
键 值 也 可 能 用 来 加 载 木 马 , 比 如 把 键 值 修改 为 X :windowssystemABC. exe "61" 94, 

(2) 系统 服务 

有 些 木马 是 通过 添加 服务 项 来 实现 自 启动 的 ,可 以 打开 注册 表 编 辑 器 ,在 HKEY _ 
LOCAL. MACHINE/Software/Microsoft/Windows/CurrentVersion/Run 下 查找 可 疑 
键 值 ,并 在 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services 下 查看 
可 疑 主键 。 

然后 禁用 或 删除 木马 添加 的 服务 项 : 在 “运行 ”对话 框 中 输入 Services. msc, 打 开 服 
务 设置 窗口 ,里 面 显示 了 系统 中 所 有 的 服务 项 及 其 状态 .启动 类 型 和 登录 性 质 等 信息 。 找 
到 木马 所 启动 的 服务 ,双击 打开 它 ,把 启动 类 型 改 为 “已 禁用 ”, 确 认 后 退出 。 也 可 以 通过 
注册 表 进 行 修改 ,依次 展开 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/ 
Services 键 ,在 右边 窗 格 中 找到 二 进 制 值 Start ,修改 它 的 数值 数 ,2 表示 自动 ;3 表示 手 
动 ;而 4 表示 已 禁用 。 当 然 最 好 直接 删除 整个 主键 ,平时 可 以 通过 注册 表 导 出 功能 来 备份 
这 些 键 值 以 便 随 时 对 照 。 

(3)“ 开 始 ”菜单 启动 组 

第 四 代 木 马 不 再 通过 “开始 ”菜单 启动 组 进行 随机 启动 ,但 是 也 不 可 掉以轻心 。 如 果 
发 现在 “开始 ”>“ 程 序 ”>“ 启 动 * 中 有 新 增 的 项 ,可 以 右 击 它 并 选择 “查找 目标 ”命令 , 青 到 
文件 的 目录 下 查看 一 下 ,注册 表 位 置 为 HKEY_CURRENT_USER /Software/Microsoft/ 
Windows/CurrentVersion/Explorer/Shell Folders, 键 名 为 Common Startup。 

(4) 系统 ini 文件 Win. ini Al System. ini 

系统 ini 文件 Win. ini 和 System. ini 里 也 是 木马 喜欢 隐蔽 的 场所 。 选 择 “ 开 始 ">“ 运 
行 ” 命 令 ,在 打开 的 对 话 框 中 输入 msconfig, 调 出 系统 配置 实用 程序 ,检查 Win. ini 的 
[Windowsj 小 节 下 的 load 和 run 字段 后 面 有 没有 什么 可 疑 程序 ,一 般 情况 下 “二 ”后 面 是 
空白 的 ;对 System. ini 的 [bootj] 小 节 中 的 Shell= Explorer. exe 后 面 也 要 进行 检查 。 
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2. 通过 文件 对 比 查 木 马 


有 的 木马 的 主 程序 成 功 加 载 后 ,会 将 自身 作为 线程 插入 系统 进程 SPOOLSV 
. EXE 中 ,然后 删除 系统 目录 中 的 病毒 文件 和 病毒 在 注册 表 中 的 启动 项 ,以 使 反 病 毒 软 
件 和 用 户 难 以 察觉 ,然后 它 会 监视 用 户 是 否 在 进行 关机 和 重启 等 操作 ,如 果 有 , 它 就 在 
系统 关闭 之 前 重新 创建 病毒 文件 和 注册 表 启 动 项 。 下 面 均 以 Windows XP 系统 为 例 
说 明 。 

CD 对 照 备份 的 常用 进程 

平时 可 以 先 备份 一 份 进程 列表 ,以 便 随时 对 比 查找 可 疑 进程 。 方 法 如 下 : 开机 后 在 
进行 其 他 操作 之 前 即 开 始 备份 ,这 样 可 以 防止 其 他 程序 加 载 进程 。 在 运行 中 输入 cmd, 然 
后 输入 tasklist /svc 二 X:processlist. txt( 提 示 : 不 包括 引号 ,参数 前 要 留 空格 ,后 面 为 文 
件 保存 路 径 ) 并 按 Enter 键 。 这 个 命令 可 以 显示 应 用 程序 和 本 地 或 远程 系统 上 运行 的 相 
关 任 务 /进程 的 列表 。 输 入 “tasklist /?” 可 以 显示 该 命令 的 其 他 参数 。 

(2) 对 照 备份 的 系统 DLL 文件 列表 

可 以 从 DLL 文件 下 手 , 一 般 系统 DLL 文件 都 保存 在 system32 文件 夹 下 ,我 们 可 以 
对 该 目录 下 的 DLL 文件 名 等 信息 作 一 个 列表 ,打开 命令 行 窗口 ,利用 cd 命令 进入 
system32 目录 ,然后 输入 dir * . dll Xilistdll. txt 并 按 Enter 键 ,这 样 所 有 的 DLL 文件 
名 都 被 记录 到 listdll. exc 文件 中 。 如 果 人 怀疑 有 木马 侵入 ,可 以 再 利用 上 面 的 方法 备份 一 
份 文件 列表 listdll2. txt, 然 后 利用 UltraEdit 等 文本 编辑 工具 进行 对 比 ;或 者 在 命令 行 窗 
口 进入 文件 保存 目录 ,输入 fc listdll. txt listdll2. txt, 这 样 就 可 以 轻松 发 现 那 些 发 生 更 改 
和 新 增 的 DLL 文件 ,进而 判断 是 否 为 木马 文件 。 

(3) 对 照 已 加 载 模块 

频繁 安装 软件 会 使 system32 目录 中 的 文件 发 生 较 大 变化 ,这 时 可 以 利用 对 照 已 加 载 
模块 的 方法 来 缩小 查找 范围 。 在 “开始 /运行 "中 输入 msinfo32. exe 打开 “系统 信息 ”, 展 
开 * 软 件 环境 /加 载 的 模块 ,然后 选择 "文件 ”一 导出 ”命令 把 它 备 份 成 文本 文件 ,需要 时 
再 备份 一 个 进行 对 比 即 可 。 

(4) 查看 可 疑 端口 

所 有 的 木马 只 要 进行 连接 ,接收 /发 送 数据 则 必然 会 打开 端口 ,DLL 木马 也 不 例外 ， 
这 里 我 们 使 用 netstat 命令 查看 开启 的 端口 。 我 们 在 命令 行 窗口 中 输入 netstat -an, 显示 
出 所 有 的 连接 和 侦 听 端口 。Proto 是 指 连 接 使 用 的 协议 名 称 ,Local Address 是 本 地 计算 
机 的 IP 地 址 和 连接 正在 使 用 的 端口 号 ,Foreign Address 是 连接 该 端口 的 远程 计算 机 的 
IP 地 址 和 端口 号 ,State 则 是 表明 TCP 连接 的 状态 。Windows XP 所 带 的 netstat 命令 比 
以 前 的 版 本 多 了 一 个 “-0? 参 数 ,使 用 这 个 参数 就 可 以 把 端口 与 进程 对 应 起 来 。 输 入 
netstat /? 可 以 显示 该 命令 的 其 他 参数 。 
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45 拓展 提升 手机 病毒 


1. 定义 


手机 病毒 是 一 种 具有 传染 性 、 破 坏 性 的 手机 程序 。 其 可 利用 发 送 短信 或 彩信 ,发送 电 
子 邮件 、 浏 览 网 站 、 下 载 铃声 .蓝牙 传输 等 方式 进行 传播 ,会 导致 用 户 手机 死机 关机、 个 人 
资料 被 删 、. 向 外 发 送 垃圾 邮件 泄露 个 人 信息 .自动 拨打 电话 ,发 短 ( 彩 ) 信 等 进行 恶意 扣 费 ， 
甚至 会 损毁 SIM 卡 ,芯片 等 硬件 ,导致 使 用 者 无 法 正常 使 用 手机 。 


2. 手机 病毒 的 传播 途径 


手机 病毒 的 传播 方式 有 着 自身 的 特点 ,同时 也 和 计算 机 的 病毒 传染 有 相似 的 地 方 。 
下 面 是 手机 病毒 传播 途径 。 

第 一 ,通过 手机 蓝牙 无线 数据 传播 。 

第 二 ,通过 手机 SIM 卡 或 者 Wi-Fi 网 络 ,在 网 络 上 进行 传播 。 

第 三 ,在 把 手机 和 计算 机 连接 的 时 候 , 被 计算 机 感染 病毒 ,并 进行 传播 。 

第 四 , 单 击 短信 、 彩 信 中 的 未 知 链接 后 ,进行 病毒 的 传播 。 


3. 手机 病毒 的 危害 


手机 病毒 可 以 导致 用 户 信息 被 窃 ,破坏 手机 软 硬 件 , 造 成 通信 网 络 局 部 瘫痪 ,给 手机 
用 户 带 来 经 济 上 的 损失 ,通过 手机 远程 控制 目标 计算 机 等 个 人 设备 。 手 机 病毒 对 用 户 和 
运营 商 将 产生 巨大 危害 。 

CD 设备: 手机 病毒 对 手机 电量 的 影响 很 大 ,导致 死机 、 重 启 , 甚 至 可 以 烧毁 芯片 。 

(2) 信用 : 由 于 传播 病毒 和 发 送 恶 意 的 文字 给 朋友 ,因此 造成 在 朋友 中 的 信用 度 
下 降 。 

(3) 可 用 性 : 手机 病毒 导致 用 户 终端 被 黑客 控制 ,大 量 发 送 短 / 彩 信 或 直接 发 起 对 网 
络 的 攻击 时 ,对 网 络 运行 安全 造成 威胁 。 

(4) 经 济 : 手机 病毒 引发 短 / 彩 信 发 送 和 病毒 体 传播 ,还 可 能 给 用 户 恶意 订购 业务 ， 
导致 用 户 话费 损失 。 

(5) 信息 : 手机 病毒 可 能 造成 用 户 信息 的 丢失 和 应 用 程序 损毁 。 


4. 手机 病毒 防御 措施 


要 避免 手机 感染 病毒 ,用 户 在 使 用 手机 时 要 采取 适当 的 措施 。 
(1) 关闭 乱码 电话 。 当 对 方 的 电话 拨 入 时 ,屏幕 上 显示 的 应 该 是 来 电 电话 号 码 , 结 果 
却 显示 别 的 字样 或 奇异 符号 。 如 果 遇 到 上 述 情形 ,用户 应 不 回答 或 立即 把 电话 关闭 。 如 
接听 来 电 , 则 会 感染 上 病毒 ,同时 机 内 所 有 设 定 将 被 破坏 。 
(2) 尽量 少 从 网 上 直接 下 载 信息 。 病 毒 要 想 侵 入 且 在 流动 网 络 上 传送 ,要 先 破坏 掉 
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手机 短信 息 保护 系统 ,这 本 非 容易 的 事情 。 但 随 着 3G 时 代 的 来 临 , 手 机 更 加 趋向 于 一 台 
小 型 计算 机 ,有 计算 机 病毒 就 会 有 手机 病毒 ,因此 从 网 上 下 载 信息 时 要 当心 感染 病毒 。 最 
保险 的 措施 就 是 把 要 下 载 的 任何 文件 先 下 到 计算 机 ,然后 用 计算 机 上 的 杀毒 软件 查 一 次 
RE ,确认 无 毒 后 再 传 到 手机 。 

(3) 注意 短信 息 中 可 能 存在 的 病毒 。 短 信息 的 收发 作为 移动 通信 的 一 个 重要 方式 ， 
也 是 感染 手机 病毒 的 一 个 重要 途径 。 如 今 手 机 病毒 的 发 展 已 经 从 潜伏 期 过 渡 到 了 破坏 
期 ,短信 息 已 成 为 染 毒 的 常用 工具 。 手 机 用 户 一 旦 接 到 带 有 病毒 的 短信 息 ,阅读 后 便 会 出 
现 手 机 键盘 被 锁 的 情况 ,严重 的 病毒 会 导致 破坏 手机 IC 卡 , 或 每 秒 钟 自动 地 向 电话 本 中 
的 每 个 号 码 分 别 发 送 垃圾 短信 等 严重 后 果 。 

(4) 在 公共 场所 不 要 打开 蓝牙 。 作 为 近 距 离 无 线 传输 的 蓝牙 ,虽然 传输 速度 有 点 慢 ， 
但 是 传染 病毒 时 它 并 不 落后 。 

(5) 对 手机 进行 查 杀 病毒 。 目 前 查 杀 手机 病毒 的 主要 技术 措施 有 两 种 : 一 种 是 通过 
无 线 网 站 对 手机 进行 杀毒 ; 另 一 种 是 通过 手机 的 IC 接 和 人 口 或 红外 传输 或 蓝牙 传输 进行 杀 
毒 。 现 在 的 智能 手机 ,为 了 禁止 非法 利用 该 功能 ,可 采取 以 下 的 安全 性 措施 : 四 将 执行 
Java 小 程序 的 内 存 和 存储 电话 短 等 功能 的 内 存 分 割 开 来 ,从 而 禁止 小 程序 访问 。@ 已 经 
下 载 的 Java 小 程序 只 能 访问 保存 该 小 程序 的 服务 器 。@ 当 小 程序 试图 利用 手机 的 硬件 
功能 (如 使 用 拨号 功能 打 电 话 或 发 送 短信 等 ) 便 会 发 出 警 。 

手机 病毒 因 手 机 网 络 联系 密切 .影响 面 广 、 破 坏 力 强 , 故 不 可 掉以轻心 。 只 要 采取 足 
够 的 防范 措施 , 便 可 安全 使 用 。 


46 7J 题 


一 、 填空 题 

1. 计算 机 病毒 按 传染 程序 的 特点 分 类 ,可 以 分 为 o 

2. 计算 机 病毒 是 指 . 

3. 计算 机 单机 使 用 时 ,传染 计算 机 病毒 的 主要 渠道 是 通过 è 

4. 计算 机 病毒 是 指 能 够 侵入 计算 机 系统 并 在 计算 机 系统 中 潜伏 、 传 播 .破坏 系统 正 
常 工作 的 一 种 具有 繁殖 能 力 的 

5. 特洛伊 木马 危险 很 大 ,但 程序 本 身 无 法 自我 : 故 严格 地 说 不 能 算是 病毒 。 


二 、 选 择 题 
L 下 面 是 关于 计算 机 病毒 的 两 种 论断 ,经 判断 (。””)。 
Q@ 计 算 机 病毒 也 是 一 种 程序 , 它 在 某 些 条 件 下 激活 ,起 干扰 破坏 作用 ,并 能 传染 到 其 
他 程序 中 去 。@ 计 算 机 病毒 只 会 破坏 磁盘 上 的 数据 。 
A. RADEM B. 只 有 @ 正 确 
C. OMORE D. 和 @ 都 不 正确 
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2. 通常 所 说 的 “计算 机 病毒 "是 指 ( Ps 


A. 细菌 感染 B. 生物 病毒 感染 

C. 被 损坏 的 程序 D. 特制 的 具有 破坏 性 的 程序 
3. 对 于 已 感染 了 病毒 的 U 盘 ,最 彻底 的 清除 病毒 的 方法 是 ( Je 

A. 用 酒精 将 U 盘 消 毒 B. 放 在 高 压 锅 里 者 

C. 将 感染 病毒 的 程序 删除 D. 对 U 盘 进 行 格式 化 
4. 计算 机 病毒 造成 的 危害 是 (  )。 

A. 使 磁盘 发 霉 B. 破坏 计算 机 系统 

C. 使 计算 机 内 存 芯 片 损坏 D. 使 计算 机 系统 突然 掉 电 


5. 计算 机 病毒 的 危害 性 表现 在 ( Jis 

A. 能 造成 计算 机 器 件 永久 性 失效 

D. 影响 程序 的 执行 ,破坏 用 户 数据 与 程序 

C. 不 影响 计算 机 的 运行 速度 

D. 不 影响 计算 机 的 运算 结果 ,不 必 采 取 措 施 
6. 计算 机 病毒 对 于 操作 计算 机 的 人 ( P 

A. 只 会 感染 ,不 会 致 病 B. 会 感染 并 致 病 

C. 不 会 感染 D. 会 有 厄运 
7. 以 下 措施 不 能 防止 计算 机 病毒 的 是 ( Js 

A. 保持 计算 机 清洁 

B. 先 用 杀 病 毒 软 件 将 从 别人 机 器 上 复制 来 的 文件 清查 病毒 

C. 不 用 来 历 不 明 的 U fik 

D. 经 常 关注 防 病毒 软件 的 版 本 升级 情况 ,并 尽量 取得 最 高 版 本 的 防毒 软件 
8. 下 列 4 项 中 ,不 属于 计算 机 病毒 特征 的 是 ( Dis 

A. 潜伏 性 B. 传染 性 C. 激发 性 D. 免疫 性 
9. 宏 病 毒 可 感染 下 列 的 ( ) 文 件 。 

A. .exe B. . doc C. . bat D: ,txt 


1. IE 清理 使 用 痕迹 功能 都 可 以 清除 哪些 使 用 痕迹 ? 
2. 计算 机 病毒 的 定义 是 什么 ? 

3. 什么 是 木马 ? 

4. 木马 有 哪些 危害 ? 

5. 如 何 预防 木马 ? 
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51 项 目 导 入 


网 络 攻 击 与 网 络 安全 是 紧密 结合 在 一 起 的 ,研究 网 络 的 安全 性 就 得 研究 网 络 攻 击 手 
段 。 在 网 络 这 个 不 断 更 新 换代 的 世界 里 ,网 络 中 的 安全 漏洞 无 处 不 在 ,即便 旧 的 安全 漏洞 
补 上 了 ,新 的 安全 漏洞 又 将 不 断 涌现 。 网 络 攻击 正 是 利用 这 些 存 在 的 漏洞 和 安全 缺陷 对 
系统 和 资源 进行 攻击 。 在 这 样 的 环境 中 ,我 们 每 一 个 人 都 有 可 能 面临 着 安全 威胁 ,都 有 必 
要 对 网 络 安 全 有 所 了 解 ,并 能 够 处 理 一 些 安全 方面 的 问题 。 


52 职业 能 力 目 标 和 要 求 


熟悉 的 Sniffer Pro 安装 过 程 

掌握 使 用 Sniffer 来 分 析 网 络 信息 的 方法 

掌握 Sniffer 在 网 络 维护 中 的 应 用 

T fit st ERE 

^F FH SERE ZR AED RE 

了 解 拒绝 服务 攻击 的 原理 

掌握 利用 Sniffer 捕获 拒绝 服务 攻击 中 的 数据 包 


53 相关 知识 点 


5.3.1 网 络 嗅 探 


1. Sniffer Pro 概述 


Sniffer 就 是 网 络 嗅 探 行为 ,或 者 叫 网 络 窃听 器 。 它 工作 在 网 络 底层 ,通过 对 局 域 网 
上 传输 的 各 种 信息 进行 嗅 探 窃听 ,从 而 获取 重要 信息 。Sniffer Pro 是 Network 
Associates 公司 开发 的 一 个 可 视 化 网 络 分 析 软 件 , 它 主要 通过 Sniffer 这 种 网 络 嗅 探 行 
为 ,监控 检测 网 络 传输 以 及 网 络 的 数据 信息 ,具体 用 来 被 动 监 听 捕捉 、 解 析 网 络 上 的 数据 
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包 并 作出 各 种 相应 的 参考 数据 分 析 , 由 于 其 强大 的 网 络 分 析 功 能 和 全 面 的 协议 支持 性 ,被 
广泛 应 用 在 网 络 状 态 监控 及 故障 诊断 等 方面 。 当 然 ,Sniffer 也 可 能 被 黑客 或 不 良 用 心 的 
人 用 来 窃听 并 窃取 某 些 重要 信息 和 以 此 进行 网 络 攻 击 等 。 


2. Sniffer Pro 的 工作 原理 


在 采用 以 太 网 技术 的 局 域 网 中 ,所 有 的 通信 都 是 按 广播 方式 进行 ,通常 在 同一 个 网 段 
的 所 有 网 络 接口 都 可 以 访问 在 物理 媒体 上 传输 的 所 有 数据 ,但 一 般 说 来 ,一 个 网 络 接口 并 
不 响应 所 有 的 数据 报 文 ,因为 数据 的 收发 是 由 网 卡 来 完成 的 ,网 卡 解析 数据 帧 中 的 目的 
MAC 地 址 ,并 根据 网 卡 驱动 程序 设置 的 接收 模式 判断 该 不 该 接收 。 在 正常 的 情况 下 , 它 
只 响应 目的 MAC 地 址 为 本 机 硬件 地 址 的 数据 帧 或 本 VLAN 内 的 广播 数据 报 文 。 但 如 
果 把 网 卡 的 接收 模式 设置 为 混杂 模式 ,网 卡 将 接受 所 有 传递 给 它 的 数据 包 。 即 在 这 种 
模式 下 ,不 管 该 数据 是 否 是 传 给 它 的 , 它 都 能 接收 ,在 这 样 的 基础 上 ,Sniffer Pro 采集 并 
分 析 通 过 网 卡 的 所 有 数据 包 ,就 达到 了 嗅 探 检测 的 目的 ,这 就 是 Sniffer Pro 工作 的 基本 
原理 。 


3. Sniffer Pro 在 网 络 维护 中 的 应 用 


Sniffer Pro 在 网 络 维护 中 主要 是 利用 其 流量 分 析 和 查看 功能 ,解决 局 域 网 中 出 现 的 
网 络 传输 质量 问题 。 

(1) 广播 风暴 

广播 风暴 是 局 域 网 最 常见 的 一 个 网 络 故障 。 网 络 广播 风暴 的 产生 ,一 般 是 由 于 客户 
机 被 病毒 攻击 、 网 络 设备 损坏 等 故障 引起 的 。 可 以 使 用 Sniffer 中 的 主机 列表 功能 ,查看 
网 络 中 哪些 机 器 的 流量 最 大 ,从 而 ,可 以 在 最 短 的 时 间 内 判断 网 络 的 具体 故障 点 。 

(2) 网 络 攻击 

随 着 网 络 的 不 断 发 展 , 黑 客 技术 吸引 了 不 少 网 络 爱好 者 。 在 大 学 校园 里 ,一 些 初级 黑 
客 们 ,开始 拿 校园 网 来 做 实验 ,DDoS 攻击 成 为 一 些 黑 客 炫 炮 自 己 技术 的 一 种 手段 ,由 于 
校园 网 本 身 的 数据 流量 比较 大 ,加 上 外 部 DDoS 攻击 ,校园 网 可 能 会 出 现 短 时 间 的 中 断 现 
象 。 对 于 类 似 的 攻击 ,使 用 Sniffer 软件 ,可 以 有 效 判断 网 络 是 受 广播 风暴 影响 ,还 是 来 自 
外 部 的 攻击 。 

(3) 检测 网 络 硬件 故障 

在 网 络 中 工作 的 硬件 设备 ,只 要 有 所 损坏 ,数据 流量 就 会 异常 ,使 用 Sniffer 可 以 轻松 
判断 出 物理 损坏 的 网 络 硬 件 设备 。 


5.3.2 WEER 


1. ARR 


Si iE Ttf LG Je TE IL i 4 R Az Té CR LEA Bb o STRE oe ds. Hr A Xy 
者 入 侵 后 ,你 就 可 以 知道 他 是 如 何 得 过 的 ,随时 了 解 针对 服务 器 发 动 的 最 新 的 攻击 和 
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漏洞 。 还 可 以 通过 窃听 黑客 之 间 的 联系 ,收集 黑客 所 用 的 种 种 工具 ,并 且 掌 握 他 们 的 
社交 网 络 。 

设计 蜜 钠 的 初 囊 就 是 让 黑客 入侵 , 借 此 收集 证 据 , 同 时 隐藏 真实 的 服务 器 地 址 ,因此 
我 们 要 求 一 台 合格 的 蜜 缸 拥有 发 现 攻击 .产生 警告 .强大 的 记录 能 力 ` 欺 骗 . 协 助 调查 等 
功能 。 


2. WEN 


CD 迷惑 人 侵 者 ,保护 服务 器 

一 般 的 客户 /服务 器 模式 里 ,浏览 者 是 直接 与 网 站 服务 器 连接 的 ,整个 网 站 服务 器 都 
暴露 在 入 侵 者 面前 ,如 果 服 务 器 安全 措施 不 够 ,那么 整个 网 站 数据 都 有 可 能 被 入 侵 者 轻易 
毁灭 。 但 是 如 果 在 客户 /服务 器 模式 里 嵌入 蜜 饶 , 让 蜜 饶 作为 服务 器 角色 ,真正 的 网 站 服 
务 器 作为 一 个 内 部 网 络 在 蜜 缸 上 做 网 络 端口 映射 ,这样 可 以 把 网 站 的 安全 系数 提高 ,入 侵 
者 即使 渗透 了 位 于 外 部 的 “服务 器 ”, 他 也 得 不 到 任何 有 价值 的 资料 ,因为 他 入 侵 的 是 蜜 钢 
而 已 。 虽 然 人 侵 者 可 以 在 蜜 缸 的 基础 上 跳 进 内 部 网 络 ,但 那 要 比 直 接 攻 下 一 台 外 部 服务 
器 复杂 得 多 ,许多 水 平 不 足 的 入 侵 者 只 能 望而却步 。 蜜 饶 也 许 会 被 破坏 ,可 是 不 要 忘记 
了 , 蜜 饶 本 来 就 是 被 破坏 的 角色 。 

在 这 种 用 途上 , 蜜 饶 不 能 再 设计 得 漏洞 百出 了 。 蜜 饶 既 然 成 了 内 部 服务 器 的 保护 层 ， 
就 必须 要 求 它 自身 足够 坚固 ,否则 ,整个 网 站 都 要 拱手 送 人 了 。 

(2) 抵御 入 侵 者 ,加 固 服务 器 

入 侵 与 防范 一 直 都 是 热点 问题 ,而 在 其 间 插入 一 个 蜜 缸 环节 将 会 使 防范 变 得 有 趣 ,这 
台 密 能 被 设置 得 与 内 部 网 络 服务 器 一 样 , 当 一 个 人 侵 者 费 尽 力气 入 侵 了 这 台 蜜 钢 的 时 候 ， 
管理 员 已 经 收集 到 足够 的 攻击 数据 来 加 固 真 实 的 服务 器 。 

(3) 诱捕 网 络 罪犯 

这 是 一 个 相当 有 趣 的 应 用 , 当 管 理 员 发 现 一 个 普通 的 客户 /服务 器 模式 网 站 服务 器 已 
经 牺牲 成 肉鸡 的 时 候 , 如 果 技 术 能 力 允 许 , 管 理 员 会 迅速 修复 服务 器 。 如 果 是 企业 的 管理 
员 ,会 设置 一 个 蜜 饶 模 拟 出 已 经 被 和 人 侵 的 状态 ,让 入 侵 者 在 不 起 疑心 的 情况 下 乖乖 被 记录 
下 一 切 行动 证 据 , 并 可 以 轻易 揪 出 IP 源头 的 那 双 黑手 。 


5.3.3 拒绝 服务 攻击 


1. 拒绝 服务 攻击 概述 


拒绝 服务 攻击 即 攻击 者 想 办 法 让 目标 机 器 停止 提供 服务 或 资源 访问 ,是 黑客 常用 的 
攻击 手段 之 一 。 这 些 资源 包括 磁盘 空间 内存、 进程 甚至 网 络 带宽 ,从 而 阻止 正常 用 户 的 
访问 。 其 实 对 网 络 带宽 进行 的 消耗 性 攻击 只 是 拒绝 服务 攻击 的 一 小 部 分 ,只 要 能 够 对 目 
标 造成 麻烦 ,使 某 些 服务 被 暂停 甚至 主机 死机 ,都 属于 拒绝 服务 攻击 。 拒 绝 服务 攻击 问题 
也 一 直 得 不 到 合理 的 解决 , 究 其 原因 是 因为 这 是 由 于 网 络 协 议 本 身 的 安全 缺陷 造成 的 ,从 
而 拒绝 服务 攻击 也 成 为 攻击 者 的 终极 手法 。 
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2. SYN Flood 拒绝 服务 攻击 的 原理 


SYN Flood 是 当前 最 流行 的 拒绝 服务 攻击 之 一 ,这 是 一 种 利用 TCP 协议 缺陷 ,发 送 
大 量 的 伪造 的 TCP 连接 请 求 , 从 而 使 得 被 攻击 方 资源 耗 尽 (CPU 满 负荷 或 内 存 不 足 ) 的 
攻击 方式 。 

SYN Flood 拒绝 服务 攻击 是 通过 TCP 协议 三 次 握手 而 实现 的 。 

首先 , 攻击 者 向 被 攻击 服务 器 发 送 一 个 包含 SYN 标志 的 TCP 报 文 , SYN 
(Synchronize) 即 同步 报 文 。 同 步 报 文 会 指明 客户 端 使 用 的 端口 以 及 TCP 连接 的 初始 序 
号 。 这 时 同 被 攻击 服务 器 建立 了 第 一 次 握手 。 

其 次 ,受害 服务 器 在 收 到 攻击 者 的 SYN 报 文 后 ,将 返回 一 个 SYN 十 ACK 的 报 文 , 表 
示 攻 击 者 的 请 求 被 接受 ,同时 TCP 序号 被 加 一 ,ACK(Acknowledgment) 即 确认 ,这 样 就 
同 被 攻击 服务 器 建立 了 第 二 次 握手 。 

最 后 ,攻击 者 也 返回 一 个 确认 报 文 ACK 给 受害 服务 器 ,同样 TCP 序列 号 被 加 一 ,到 
此 一 个 TCP 连接 完成 ,三 次 握手 完成 。 

拒绝 服务 攻击 中 ,问题 就 出 在 TCP 连接 的 三 次 握手 中 ,假设 一 个 用 户 向 服务 器 发 送 
T SYN 报 文 后 突然 死机 或 掉 线 ,那么 服务 器 在 发 出 SYN 十 ACK 应 答 报 文 后 是 无 法 收 到 
客户 端的 ACK 报 文 的 (第 三 次 握手 无 法 完成 ) ,这 种 情况 下 服务 器 端 一 般 会 重 试 (再 次 发 
送 SYN 十 ACK 给 客户 端 ) 并 等 待 一 段 时 间 后 丢弃 这 个 未 完成 的 连接 ,这 段 时 间 的 长 度 我 
们 称 为 SYN 超时 ,一 般 来 说 这 个 时 间 是 min 的 数量 级 (为 30s 一 2min) ;一 个 用 户 出 现 异 
常 导致 服务 器 的 一 个 线程 等 待 min 并 不 是 什么 很 大 的 问题 ,但 如 果 有 一 个 恶意 的 攻击 
者 大 量 模拟 这 种 情况 ,服务 器 端 将 为 了 维护 一 个 非常 大 的 半 连 接 列表 而 消耗 非常 多 的 资 
源 。 实 际 上 如 果 服 务 器 的 TCP/IP 栈 不 够 强大 ,最 后 的 结果 往往 是 堆栈 溢出 崩溃 一 一 即 
使 服务 器 端的 系统 足够 强大 ,服务 器 端 也 将 忙于 处 理 攻击 者 伪造 的 TCP 连接 请 求 而 无 暇 
理 肯 客 户 的 正常 请 求 , 此 时 从 正常 客户 的 角度 看 来 ,服务 器 失去 响应 ,使 服务 器 端 受 到 了 
SYN Flood 攻击 (SYN 洪水 攻击 )。 
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任务 5-1 Sniffer Pro 安装 


Sniffer Pro 是 NAI 公司 推出 的 功能 强大 的 协议 分 析 软 件 。 接 下 来 针对 用 Sniffer 
Pro 安装 、 功 能 及 界面 进行 介绍 。 
在 网 上 下 载 Sniffer Pro 软件 后 ,直接 运行 安装 程序 ,系统 会 提示 输入 个 人 信息 和 软 
件 注册 码 ,安装 结束 后 ,重新 启动 .之 后 再 安装 Sniffer 汉化 补丁 。 运 行 Sniffer 程序 后 , 系 
统 会 自动 搜索 机 器 中 的 网 络 适配器 , 单 击 “ 确 定 ” 按 钮 ,进入 Sniffer 主 界 面 。 下 面 详细 介 
绍 安装 过 程 。 
(1) 打开 Sniffer Pro 安装 包 , 如 图 5-1 所 示 。 双 击 运行 Sniffer Pro 安装 程序 ,进入 欢 
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迎 界面 ,如 图 5-2 所 示 。 


fi SnifferPro4.7.5 


XQ) SED SEV KÆW IRV 帮助 0D 


Qa- O- X ss Dr | 国 - 


Hi QD [© E: \Sni fferProt.7.5 


E 
XPERUEMXGEAS G) B encSni fferProt.T 
a] 重合 名 这 文件 m 

By Baan 10.530 
D amate 


[:] 将 注 个 文件 发 到 

3 以 电子 邮件 形式 发 送 
2 jx 

x Marte 


v» 本 地 开盘 xo 
O sacs 
O taxti 
FECIT] 


图 5-1 Sniffer Pro 安装 包 


Welcome to the InstallShield Wizard 
for Sniffer Portable 4.7.5 


The InstallShield Wizard(TM) wil help install Sniffer Portable 
4.7.5 on your computer. To continue, click Next. 


图 5-2 Sniffer Pro 欢迎 界面 


(2) 单 击 “ 下 一 步 ?按钮 ,开始 安装 加 载 ,如 图 5-3 和 图 5-4 所 示 o 

(3) 接 下 来 几 步 均 按 照 默 认 的 安装 选项 进入 下 一 步 ,运行 安装 过 程 中 出 现 注册 信息 
窗口 ,如 图 5-5 所 示 。 图 5-6 是 该 注册 窗口 的 解释 。 

(4) 输入 信息 如 图 5-7 所 示 ,输入 英文 名 字 ,* 号 为 必 填 内 容 。 

(5) 单 击 “ 下 一 步 " 按 钮 ,进入 第 二 个 注册 信息 窗口 (图 5-8) , 接 下 来 输入 地 址 城市 、 
电话 等 信息 , 按 要 求 输入 ,如 图 5-9 所 示 。 
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Š Sniffer Portable 4.7.5 — InstallShield Wizard 


Extracting Files 
The contents of this package are being extracted. 


Please wait while the InstallShield Wizard extracts the files needed to install Sniffer 
Portable 4.7.5 on your computer. This may take a few moments. 


Reading contents of package... 


图 5-3 Sniffer Pro 安装 中 


Snifer Pro Setup is preparing the InstalShieldfR] 
Wizard which wil guide you through the rest of the 
setup process. Please wait 


图 5-4 Sniffer Pro 安装 加 载 中 


47. 


e re sm el bin ¢ 
m] 
tide 


e 


图 5-5 Sniffer Pro 注册 窗口 (1) 
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到 Sniffer Pro User Registration 


Enter your nane and information. * — Indicates a 


(Beta BF S 


* Last Wane: [E 
+ Business [BR 


* PER 


单位 类 型 - 


电子 邮件 | 


* Customer 


* Email 


m 


5-6 注册 窗口 1 的 解释 


F Sniffer Pro User Registration 


EIE 
SR 
i) 


Enter your name and information. * - Indicates a 


* First Name: |kudrat 
* Last Name: jrixit 
* pe 
[marez0990163.m 


* Business 


* Customer 


* Email 


T 
图 5-7 输入 信息 


ater information about vhere we can contact you 


* Máress: [sr 
H Bi 
* City: pE 
. 省 市 z 
* Country: 国家 5 
stota 
[电话 | na macam mt 
EL ml 
tatr: [| [| 广 
传真 


strofo] ww | 
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Wi Sniffer Pro User Registration 


Enter information about where we can contact you: 


* dress — [she 


[yoshaonanu 


» City: [ralusugi 


* K Other > - 


* Country K Other > z] 


* Postal 


Area Code Number Ext. 
二 二 Er 


(56 1234567890 


< 上 - 步 加 取消 


图 5-9 在 Sniffer Pro 注册 窗口 2 中 输入 信息 


(6) 单 击 “下 一 步 ? 按 钮 ,进入 第 三 个 注册 信息 窗口 (图 5-100 , 按 要 求 输入 Sniffer 的 
序列 号 及 其 他 信息 ,如 图 5-11 所 示 。 


* Please Let us Jaow where you z 
heard about this product. 一 


May we share your nane with 
other ceapaniez that uze RAI 
ducta? 


* Please let us know where you 
heard about this product. 


Do you wish to receive 
announcements about this 
Product? 


May we share your name with 
other companies that use NAI 
products? 


* Sniffer Serial Number aiseczssersoonocxx 


下 一步 加 >】 mi 


图 5-11 Æ Sniffer Pro 注册 窗口 3 中 输入 信息 
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(7) 单 击 * 下 一 步 " 按 钮 ,进入 选择 连接 网 络 选项 窗口 (图 5-12) ,选择 不 连接 网 络 , 单 


击 * 下 一 步 "按钮 。 


到 Sniffer Pro User Registration 


JE If you are connecting to the Internet through 
(LEAGUE — did-up networking, you may vish to connect nov. 
If you are connecting over a local ares network, you 
hay meed to connect throngh a proxy, Please consult 
your systen sdninistrator, 


you are unable to connect to the Internet, your 
registration information can be printed and saved. 


下 面 两 个 选项 确定 是 否 联 网 


C Wireet Connection to the Internet. 
C Connection to tha Internet through a Proxy 


m | 
5-12 Sniffer Pro 网 络 连接 选项 


(8) 下 面 出 现 的 是 注册 信息 窗口 (图 5-13), 单 击 “ 完 成 "按钮 ,完成 安装 。 


机 ,使 Sniffer 生效 。 


Wi Sniffer Pro User Registration 


Begistration Results: 


http: Vorrr. nai. con 
Phone # (408)988-3832 


[Product Sniffer Pro 
'ustomer ID 
kudrat rixit 
xxaqx 
xjjexy 


ailing Address shaqu a 


Save.. Print 


[^ Display product information from the World Wid 
图 5-13 注册 信息 窗口 


重启 计算 


(9) 计算 机 重启 后 ,如 图 5-14 所 示 , 进 入 “开始 "菜单 的 “程序 ”选项 里 的 Sniffer 子 项 ， 


运行 Sniffer 程序 。 进 入 Sniffer 主 界面 。 


任务 5-2 Sniffer 功能 界面 


1. 主 界面 


进入 Sniffer 的 主 界面 ,可 以 看 到 Sniffer 菜单 捕获 面板 、 网 络 性 能 快捷 键 及 仪表 盘 
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面板 ,如 图 5-15 所 示 。 


图 5-14 运行 Sniffer Pro 


, 【元件 由 -高 显 嵩 -修改 汉化 ) -AKA ERETO... [OR 
捕获 面板 A 
快捷 键 网 络 性 能 
监视 快捷 键 
仪表 盘 
图 5-15 Sniffer Pro 主 界面 
(1) 捕获 面板 


报 文 捕获 功能 可 以 在 报 文 捕 获 面板 中 完成 ,图 5-16 是 捕获 面板 的 功能 图 。 
(2) 网 络 性 能 快捷 键 
图 5-17 是 网 络 性 能 快捷 键 的 功能 图 。 


2. 常用 的 工具 按钮 
下 面 介 绍 一 些 在 日 常 的 网 络 维护 中 常用 的 工具 按钮 。 
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图 5-17 网 络 性 能 快捷 键 


(1) 主机 列表 按钮 

单 击 网 络 性 能 快捷 键 中 的 “主机 列表 ”按钮 ,Sniffer 会 显示 网 络 中 所 有 机 器 的 信息 ， 
如 图 5-18 所 示 。 其 中 ,Hw 地 址 一 栏 是 网 络 中 的 客户 机 信息 。 网 络 中 的 客户 机 一 般 都 有 
唯一 的 名 字 ,因此 在 Hw 地 址 栏 中 可 以 看 到 客户 机 的 名 字 。 对 于 安装 Sniffer 的 机 器 ,在 
Hw 地 址 栏 中 用 “本 地 ”来 标识 ;对 于 网 络 中 的 交换 机 、 路 由 器 等 网 络 设 备 , Sniffer 只 能 显 
示 这 些 网 络 设备 的 MAC 地 址 。 入 埠 数 据 包 和 出 埠 数 据 包 , 指 的 是 该 客户 机 发 送 和 接收 
的 数据 包 数 量 ,后面 还 有 客户 机 发 送 和 接收 的 字 节 大 小 ,可 以 据 此 查看 网 络 中 的 数据 流量 
Xd. 


E BERE 38 位置 


ls RIE lxl-l= luly ello : 


图 5-18 主机 列表 


(2) 矩阵 按钮 
矩阵 功能 通过 圆 形 图 例 说 明 客户 机 的 数据 走向 ,可 以 看 出 与 客户 机 有 数据 交换 的 机 
器 ,如 图 5-19 所 示 。 
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DE~ 


0001000: 


1005E0000FC 


图 5-19 矩阵 
(3) 请 求 响应 时 间 按 钮 
请 求 响应 时 间 功 能 ,可 以 查看 客户 机 访问 网 站 的 详细 情况 ,如 图 5-20 所 示 
机 访问 某 站 点 时 ,可 以 通过 此 功能 查看 从 客户 机 发 出 请 求 到 服务 器 响应 的 时 间 等 


请 求 响 应 时 间 (毫秒 ) -HTITP: 0 登录 


图 5-20 请求 响应 时 间 


(4) 警报 日 志 按 钮 
当 Sniffer 监控 到 网 络 的 不 正常 情况 时 ,会 自动 记录 到 警报 日 志 中 。 所 以 打开 Sniffer 
软件 后 ,首先 要 查看 一 下 警报 日 志 , 看 网 络 运行 是 否 正常 ,如 图 5-21 所 示 。 
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pus peu 日 志 时 间 [xm | 过 
© t 20140221180055 ÆSA WINS No Response 


5-21 警报 日 志 


任务 S-3 Sniffer Pro 报 文 的 捕获 与 解析 


1. 选择 网 络 接口 

(1) 在 计算 机 中 ,打开 Sniffer Pro 软件 主 窗口 。 

(2) 在 主 窗口 中 ,依次 单 击 “ 文 件 ” 一 “ 选 定 设置 ”命令 ,如 图 5-22 所 示 ,弹出 “当前 设 
置 " 对 话 框 ,如 图 5-23 所 示 。 如 果 本 地 主机 具有 多 个 网 络 接口 , 且 需 要 监听 的 网 络 接口 不 
在 列表 中 ,可 以 单 击 “ 新 建 "按钮 添加 。 选 择 正确 的 网 络 接 口 后 , 单 击 “ 确 定 ” 按 钮 。 


Sniffer Portable - Local，【〔 软 件 由 -高 显 党 -修改 汉化 ) -以 太 网 


注销 @) 
全 部 重 置 I) 
回环 模式 QD 


更 新 许可 
Heo 


图 5-22 操作 界面 
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Local sew. 
[JYEvare Accelerated AND PCHet 


5-23 “当前 设置 "对 话 框 


2. 报 文 捕获 与 分 析 


(1) 在 Sniffer Pro 主 窗口 中 ,直接 单 击 工 具 栏 中 的 “开始 ”按钮 ,开始 捕获 经 过 选 定 网 
络 接口 的 所 有 数据 包 。 在 本 机 浏览 器 打开 任意 一 个 网 页 ,同时 在 Sniffer 主 窗口 观察 数据 


的 捕获 情况 。 


(2) 依次 单 击 主 窗口 中 “捕获 ”一 “停止 并 显示 "菜单 或 直接 单 击 工 具 栏 中 的 “停止 并 


显示 ”按钮 ,在 弹出 的 窗口 中 选择 “解码 ”选项 卡 ,显示 如 图 5-24 所 示 。 


Sniffer Portable - Local, (软件 由 -高 显 湾 - 你 改 汉化 ) -以 太 网 〈 线 速度 在 1000 Wps) - [Snif1: 解码 ，5348/--- MOR 
是 文件 @) 监视 如 中) MEO Ex IAV BEF WD 帮助 
ahaj x] —— 

ala essel e esi |en| 2| e| «| 
号 [m [EE [BisibiE [Len GEGIL] 
adpat.mail.163.|[192.1€8.1.101]| TCP: D«1761 S80 1CK*152174247 VIN*17280 60 0:01.04.298 
adpmt mail 163. [192 168.1 101] TCP: D=1761 S80 ACK*152475052 VIN*20160 60 0:01 04.299 
adpnt.mail.163.|[192.168.1.101]| HTTP: Continuation of n: 346; 49 By! 103 0:01.04.299 — 

04960 VIN | 0 


L157 jee dn moil i6 Te Dei 5-1761 04360 VIN éo | 0.0104 299 S 
j » 


Version = 4, header length = 20 bytes 
Type of service = 00 
000 * routine 
= normal delay 
= normal throughput 
= normal reliability 
= ECT bit - transport protocol vill ignore the CE bit 
= CŒ bit - no congesticn 
BIP: Total length = 269 bytes 
L) IP: Identification = 21545 
D IP: Flaas -ax 
EUNT). Y3 ee 33 ta 4 Gr qe 74 SS Ge D Dd Ac SD be e7 Gf Centea eng 


& E] 
图 5-24 Sniffer Pro 捕获 界面 


(3) 在 图 5-24 上 侧 的 窗 格 中 选中 向 Web 服务 器 请 求 网 页 内 容 的 HTTP 报 文 ,在 中 
间 的 窗 格 中 选中 一 项 ,在 下 方 的 窗 格 将 有 相应 的 十 六 进 制 和 ASCI 码 的 数据 与 之 相 


对 应 。 


(4) 界面 中 间 窗 格 的 IP 报 文 段 描述 中 ,我 们 对 照 如 图 5-25 中 的 IP 报 文 格式 ,可 以 清 


楚 地 分 析 捕 获 到 的 报 文 段 。 


网 络 安全 实用 项 目 教程 


IPAO 
0 15 16 31 
4 位 “| 4 位 首 | 8 位 服务 类 型 "—— 
ME | 部 | Om 16 位 报 文 总 长 度 (文字 数 ) 
16 位 标识 站 | pt 

SERME | 。 8 位 协议 16 位 首部 校 验 和 

32 位 源 了 地址 

到 位 目的 地 志 

选项 (如 果 有 ) 

数据 


图 5-25 ”IP 报 文 格式 


3. 定义 过 滤器 
我 们 也 可 以 通过 定义 过 滤器 来 捕获 指定 的 数据 包 。 


(1) 在 Sniffer Pro 主 窗口 中 ,依次 单 击 菜单 “捕获 ”一 “定义 过 滤器 ”, 如 图 5-26 所 示 o 


Sniffer Portable -Local，【〔 软 件 由 -高 显 党 -修改 汉化 ) -以 太 网 〈 线 速度 在 1000 Mbps) 
文件 下) 监视 器 如 mq IAV XE*q SOW 帮助 0 

pl uj mrs] 7o 

uj ajs| i sis: i| z| el sj 


[- ey 


捕获 面板 C 


图 5-26 打开 过 滤器 


(2) 弹出 “定义 过 滤器 一 捕获 ”对 话 框 ,选择 地址 ”选项 卡 。 在 “地 址 类 型 "下拉 
中 选择 IP 项 ,在 “模式 ”选项 栏 内 选择 “包含 "项 ,并 在 下 方 列表 中 分 别 填写 源 主机 和 
主机 的 IP 地 址 ,如 图 5-27 所 示 。 


列表 
目标 


(3) 选择 “高 级 ”选项 卡 , 展 开 IP 节点 , 单 击 选中 协议 ICMP, 如 图 5-28 所 示 , 单 击 “ 确 


定 ” 按 钮 。 此 时 ,Sniffer 只 捕获 计算 机 源 主机 和 目标 主机 之 间 通 信 的 ICMP 报 文 。 
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(4) 打开 本 地 (IP: 192. 168. 1. 101) 计 算 机 的 CMD 界面 ,ping 目标 (IP: 192. 168. 1. 
100) 主 机 ,如 图 5-29 所 示 。 


定义 过 小 器 -捕获 
mE tt “| 数据 模式 | 高 多 jme | 
Ls HU 已 知 的 地 址 : Dragable) QD 


Ir z 5 任意 的 
模式 加 广 播 /多 点 传送 地 址 
c 820 Q mim 


C HERD 


位 置 1 位 置 2 
1921681101 1921681100 


定义 过 小 器 -捕获 
mm | 地 址 “| 数据 模式 m jme | 


sw ir 

DA eor 

[788 cor 
HLO 
En 
Iam 
IGRP/EIGRP 
IP-VINES 


ISO-TP4 


数据 包 大 小 G) 数据 包 关 型 了) 
All = 


所 有 的 大 小 


和:、>ping 192.168.1. 


Pinging 19 


图 5-29 ping 操作 
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(5) 进入 Sniffer, 单 击 工具 栏 中 的 “停止 并 显示 ”按钮 ,在 弹出 的 窗口 中 选择 “解码 ” 选 


项 卡 ,显示 如 图 5-30 所 示 的 捕获 界面 。 


E 


E: HEGSIIS 
i 7 
C1 n 
IL 12 168.1 74 
Ey 1132 158 1 101] [192 1 z 
£ = ———— -一 — 
IP. Protocol T1 OP 
Ij IP. Eesder checkeus = 9991 (correci 


IP: Source address = [192 168.1.100] 
IP: Destination address = [192 168.1.101] 
IP: No options 

P 


23 
IO: Type = 0 (Echo reply) 
Bue cm 
IQP: Checkzum = BSC (correct) 
ICMP. Identifier = 512 
ICMP: Sequence nunber = 2046 
ICHP: [32 bytes of data] 


IP 
l [Normal end of "ICMP keader".] 


U.—E 


0 
[00000010: 00 3c 5d 1s 20 FH H 01 99 91 c0 a8 01 64 c) a8 6 us dé 
01002020. 01 65 BUSDUTBUSCRUTOISUNTUDTSNTEETSSNDATÉSTES 
XR) i 主机 列表 A Protocol Dist. A E 

图 5-30 捕获 


界面 


(6) 界面 中 间 窗 格 的 ICMP 报 文 段 描 述 中 ,我 们 对 照 如 图 5-31 所 示 ICMP 报 文 格 


式 , 可 以 分 析 捕 获 到 的 报 文 段 。 


ama) | 代码 (0) | — gamas 
标识 符 (16 位 ) 序列 号 (16 位 ) 
发 起 时 间 稚 (32 位 ) 
seid iiio fin 
tesi ia G2) 


图 5-31 ICMP 报 文 格式 


任务 5-4 Web 服务 器 蜜 钱 攻防 


1. HFS 工具 安装 部 署 与 设置 


HFS 网 络 文件 服务 器 是 专 为 个 人 用 户 所 设计 的 HTTP 档案 系统 ,这 款 软 件 可 以 提 
供 更 方便 的 网 络 文 件 传 输 系统 ,下 载 后 无 须 安装 ,只 要 解压 缩 后 执行 hfs. exe, 便 可 架设 
完成 个 人 HTTP 网 络 文件 服务 器 ,如 图 5-32 所 示 。 虚 拟 服务 器 将 对 这 个 服务 器 的 访问 
情况 进行 监视 ,并 把 所 有 对 该 服务 器 的 访问 记录 下 来 ,包括 IP 地 址 ,访问 文件 等 。 通 过 这 


些 对 黑客 的 入 侵 行为 进行 简单 的 分 析 。 
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aza | 分 20:80 | 8 SFERRARE | 
从 EaP http://192.168.1.103/| DE d 
虚拟 文件 系统 | Bi 


Ly] 
FE 


口 文人 状态 


t: 0.0 KB/s A: 0.0 KB/s. 


图 5-32 ”HFS 主 界面 
2. 部 署 与 设置 


在 HFS 运行 窗 格 下 右 击 , 即 可 “新 增 "/* 移 除 ” 虚 拟 档 案 资料 夹 ,或 者 直接 将 欲 加 入 的 
档案 拖 电 至 此 窗口 , 便 可 架设 完 


(B EINAR http://192.168.1.103/ 


Hi: 0.0 KB/s A: 0.0 KB/s 


图 5-33 HTTP 网 络 文件 服务 器 
3. 监视 监控 


(1) 在 主机 B(192. 168.1.109) 的 浏览 器 中 输入 主机 A 的 IP 地 址 192. 168. 1. 10 ,并 
下 载 测试 文件 ,如 图 5-34 所 示 。 


(2) 在 转 到 主机 A 中 ,打开 HFS 服务 器 就 可 以 监视 到 主机 B 的 操作 ,如 图 5-35 所 
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THES 主 界 面 里 就 会 自动 监听 并 显示 攻击 者 的 访问 操作 记录 。 


BSL / - Hicrosoft Internet Explorer 
XED REO FEV KEW IAV 帮助 四 


Om- O- 2a» ju 3-3 a a 


Hl W [iB] necp: 7/192. 168.1 103/ wjEsm wm 
Fue 文件 名 扩展 名 ZEA 修改 时 间 EZ 
= O 最 新 2 测 式 目录 2014/3/3 22:59:37 
BER 
Gum 


工 个 子 目录 , 0 个 文件 , 0 日 


[E] se | 他 sm: co | S8 tcc tmn. | 


(B) citer; |htpy/192.168.1.1031 


F) 测试 文件 .docx 


68. 1. 109: 1133 Lr RSE - 0 € 0 KB/s - /IMIKEER/ MICH doc 


gr een 
192.1681.109:1130 
192.1681.109:1133. 


图 5-35 主机 A 的 HFS 服务 器 


任务 5-5 ”部署 全 方位 的 蜜 缸 服务 器 


1. Defnet Honeypot 工具 


Defnet Honeypot Jé— IK H 44 f " E HE” EMR. E cx ME TL E A C BRA RU CAS aee 
等 着 恶意 攻击 者 上 钩 。 利 用 该 软件 虚拟 出 来 的 系统 和 真正 的 系统 看 起 来 没有 什么 两 样 ， 
但 它 是 为 恶意 攻击 者 布置 的 陷阱 。 通 过 它 可 以 看 到 攻击 者 都 执行 了 哪些 命令 ,进行 了 哪 
些 操作 ,使 用 了 哪些 恶意 攻击 工具 。 通 过 陷阱 的 记录 ,可 以 了 解 攻击 者 的 习惯 ,掌握 足够 
的 攻击 证 据 , 甚 至 反击 攻击 者 。 图 5-36 是 Defnet Honeypot 主 界面 。 


2. WERS IRAE 


(D 运行 Defnet Honeypot, 在 程序 主 界面 右 侧 单 击 Honeypot 按钮 ,弹出 如 图 5-37 
所 示 的 对 话 框 ,在 该 设置 对 话 框 中 .可 以 虚拟 Web, FTP, SMTP, Finger, POP3 和 Telnet 
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等 常规 网 站 提供 的 服 


5. 


于 指定 伪装 的 


Monitoring Stopped 
Montre. 
Stop 
Clean 
Save 
Options 
Honeypot 
图 5-36 Defnet Honeypot 主 界面 
Bl Web Server Bl Finger Server 
fonti [o0 Poe: [78 po 
Directory: [EVWwwwoot 
Wi POP3 Server 
Bi FT server 
Port: [2T 口 Full Access E= 
Bonner: [220Wufpd 163 Eiee aah 
Login: — [usuario Password: [m Bl Telnet Server 
Directory: [c wemp Port: [23 C Ne login 
Trop File:  [petup exe Banner: [Windows 2003 Telnet Server 
Bb SMT Server Login: [usuario EA] 
Port 5 Serha [77 
图 5-37 Honeypot 设置 对 话 框 
(2) 要 虚拟 一 个 FTP Server 服务 , 则 可 选中 相应 服务 FTP Server 复 选 框 ,并 且 可 以 
给 恶意 攻击 者 Full Access( 完 全 访问 ) 权 限 。 并 可 设置 好 Directory 项 ,用 
文件 目录 项 ,如 图 5-38 所 示 。 
x 5 
CO Web Server C Finger Server 
Forh Port: Kid 
Directory: 
口 POP3 Server 
WB rr server 
Port: [2 Bl Fol Access fort: 
Bomer: [Wup 168 Foke message: 
Login: [ood Password: CO Telnet Server 
Directory: [EVemp Port: No login 
Trop Filer hetup euo Banner: et Se 
O SMTP Server Login: pow 
Port: Senho: 
图 5-38 FTP Server 服务 
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(3) 在 Finger Server 下 面 的 Aclvanced 高 级 设置 项 中 可 以 设置 多 个 用 户 ,admin 用 
户 是 伪装 成 管理 员 用 户 的 ,其 提示 信息 是 administrator, 即 管理 员 组 用 户 ,并 且 可 以 允许 
40 个 恶意 攻击 者 同时 连接 该 用 户 , 如 图 5-39 所 示 。 


5-39 Finger Server 对 应 的 高 级 选项 


(4) 在 Telnet Server 的 高 级 设置 项 中 ,还 可 以 伪装 驱动 器 盘 符 (Drive)、 卷 标 
(Volume) .序列 号 (Cserial no) ,以 及 目录 创建 时 间 和 目录 名 、 剩 余 磁 盘 空 间 (Free space in 
bytes) ,MAC 地址、 网 卡 类 型 等 ,如 图 5-40 所 示 。 


Drive: |F volume: [sistema serial no : |F078-2A14 
Date and time of directories creation Fiel 
Date: 0200] Time: [M53 口 FaeNome: [xw 707] 
Free space in bytes: [43362553344 Real Filename: em 
Directory 1: [at Date: [DE ] Time: 
Dimctory2:|bckp ——  ] Fie2 
Directory 3 : [documents D] Foke Name: [sew |] 
Directory 4 : [ies Real Filename: [agenda ht 

Date: ] Time: 


What directory wil be accessible 

ODiectoy! O Directoy 2 ee 

O Diectoy3 O Directory 4 L] FakeName: [emenn | 
Real Filename: [sadne him 


MAC: (00-0A-E6-5E-31-4C 
Date: Time: 
Network Card: [Realtek RTL8139 Fast Ethemet 
DNS: (200.195.24.10 Allow [12 | commands before disconnect 


5-40 Telnet Server 对 应 的 高 级 选项 


3. 开启 监视 


蜜 饶 搭 建成 功 后 , 单 击 Honeypot 主 程序 界面 的 Monitore 按钮 ,可 以 开始 监视 恶意 
攻击 者 了 。 当 有 人 攻击 系统 时 ,会 进入 我 们 设置 的 蜜 钢 。 在 Honeypot 左面 窗口 中 ,就 可 
以 清楚 地 看 到 恶意 攻击 者 都 在 做 什么 ,进行 了 哪些 操作 。 

例如 我 们 在 本 机 “机 B” 中 对 本 机 ( 蜜 缸 服务 器 ) 进 行 Telnet 连接 , 蜜 饶 中 显示 的 信息 
如 图 5-41 所 示 。 

从 信息 中 可 以 看 到 攻击 者 Telnet 到 服务 器 ,分 别 用 root 空 密 码 和 123 密码 进行 探 
视 , 均 告 失败 ,然后 再 次 连接 并 用 root 用 户 和 1234 密码 进入 系统 。 接 下 来 用 dir 命令 查 
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Monitoring the system since 0:31:25 on ip 192.168.1.109 


(0:36:39) The IP 192.168.1.109 (kudret) tried invasion by telnet (CONNECTION ) Monitore. 
(0:36:42) The IP 182.168.1.109 (kudret) tried invasion by telnet (USER root) 

(0:36:44) The IP 192.168.1.109 (kudret) tried invasion by telnet (PASSWORD ) 
(0:36:47) The IP 192.168.1.109 (kudret) tried invasion by telnet (USER root) Stop 


(0:36:49) The IP 192.168.1109 (kudret) tried invasion by telnet (PASSWORD 123) 
(0:36:52) The IP 192.168.1.109 (kudret) tried invasion by telnet (USER root) 
(0:36:55) The IP 192.168.1109 (kudret) tried invasion by telnet (PASSWORD 1234) Clean 
(0:36:58) The IP 192:168.1.109 (kudret) tried invasion by telnet (dir) 
(0:37:03) The IP 192.168.1109 (kudret) tried invasion by telnet (net user) 


Honeypot 


5-1 监控 界面 
看 目录 、 系 统 用 户 。 
4. 蜜 色 提醒 


如 果 我 们 不 能 在 服务 器 前 跟踪 攻击 者 的 攻击 动作 时 , 当 想 了 解 攻击 者 都 做 了 些 什 么 
时 ,可 以 使 用 Honeypot 提供 的 “提醒 ”功能 。 在 软件 主 界面 单 击 Options 按钮 ,在 打开 的 
设置 界面 中 设置 自己 的 E-mail 信箱 ,其 自动 将 攻击 者 的 动作 记录 下 来 ,发 送 到 设置 的 邮 
箱 中 。 选 中 Send logs by E-mail, 在 输入 框 中 填写 自己 的 邮箱 地 址 、 邮 件 发 送 服务 器 地 
址 ,发 送 者 邮箱 地 址 ;再 选中 Authenticaton required, 填 写 邮箱 的 登录 名 和 密码 ,自己 就 
可 以 随时 掌握 攻击 者 的 入 侵 情况 了 ,如 图 5-42 所 示 。 


Bl Send logs by E-mail Bl Send logs by ICQ 
lour E-mail: [youGyouprovider com Your UIN: [27672882 
Server: — [mp youprovider.com Password: [777 
For : [someoneGhisprovider.com. For UIN: [11223344 


国 Authentication required 
Login: [usuario Password: [^77 


Bl Open Extra Ports 
22 1080 
Send alerts on each |10 lines captured 1433 16000. 


Wl Send logz to a server Default banner of extra ports 


Server: [27001 pert: [m6 | [Festrict access 
C Do not open trojan ports [C Play sound when capture 


Save automatic logs on in the directory 口 Aute-monitere 


图 5-42 Honeypot 对 应 的 Options 对 话 框 


另外 还 可 以 选中 Save automatic logs on in the directory 复 选 框 , 将 入 侵 日 志保 存 到 
指定 的 目录 中 ,方便 日 后 分 析 。 

上 面 是 在 模拟 环境 中 进行 的 演示 ,真实 网 络 环境 中 的 部 署 与 此 类 似 。 通 过 演示 ,大 家 
可 以 看 到 蜜 钠 服务 器 不 仅 误导 了 攻击 者 让 他 们 无 功 而 返 ,同时 获取 了 必要 的 入 侵 信 息 , 为 
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我 们 对 真正 的 服务 器 进行 安全 设置 提供 了 依据 ,也 是 下 一 步 反 攻 的 前 提 。 
任务 5-6 SYN Flood 攻击 


l. 捕获 洪水 数据 


CD 打开 攻击 者 主机 的 Sniffer, 单 击 工 具 栏 中 的 “定义 过 滤器 ”按钮 ,在 弹出 的 “定义 
过 滤器 ”对 话 框 中 设置 如 下 过 滤 条 件 : 在 “地 址 ”选项 卡 中 输入 “主机 A 二 -二 主机 B 的 IP 
地 址 ;在 “高 级 ”选项 卡 中 选中 * 协 议 树 ”~ETHER~~IP-~>~TCP 选项 。 单 击 “ 确 定 ” 按 钮 使 
过 滤 条 件 生效 ,摘要 信息 如 图 5-43 所 示 。 


定义 过 滤器- 捕获 
摘要 | 地 址 | 数据 模式 | 高 级 me | 


模式 :排除 
192. 168. 1.109 <—> 192. 168. 1.112 


协议 : TCP 


缓冲 器 大 小 : 8 ec TP 
组 冲 器 动作 : TERR rap) 


图 5-43 “定义 过 滤器 -捕获 ”对 话 框 


(2) 在 Sniffer 捕获 窗口 ( 见 图 5-24) 工 具 栏 中 单 击 “ 开 始 捕 获 数据 包 ” 按 钮 ,开始 捕获 
数据 包 。 


2. 性 能 分 析 


CD 启动 被 攻击 主机 系统 “性 能 监视 器 ”, 监 视 在 遭受 到 洪水 攻击 时 本 机 CPU, f£ 
消耗 情况 ,依次 单 击 “ 控 制 面板 ”>“ 管 理工 具 ”>“ 性 能 ”, 可 打开 “性 能 监视 器 "对话 框 进行 
系统 性 能 的 监视 ,如 图 5-44 所 示 。 

(2) 在 监视 视图 区 右 击 ,选择 “属性 ”命令 ,打开 “系统 监视 器 属性 ”对 话 框 ,如 图 5-45 
所 示 。 

(3) 在 “数据 ”属性 页 中 将 “计数 器 ”列表 框 中 的 条 目 删除 ; 单 击 “ 添 加 ”按钮 ,打开 “ 添 
加 计数 器 ”对 话 框 ,如 图 5-46 所 示 。 在 “性 能 对 象 ” 中 选择 “TCPv4”, 在 “从 列表 选择 计数 
器 ”中 选中 Segments Received/sec: 单 击 “ 添 加 ”按钮 ,然后 关闭 “添加 计数 器 ”对 话 框 。 单 
击 “ 系 统 监视 器 属性 ”对 话 框 中 的 “确定 ”按钮 ,使 策略 生效 。 


3. 洪水 攻击 


(1) 运行 已 准备 好 的 独裁 者 拒绝 服务 攻击 工具 ,选择 SYN 攻击 方式 ,在 视图 中 需要 
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性 能 监视 区 


5-44 


“性 能 监视 器 ”对话 框 


FMW...) C mem 


Beo 
KAD 


允许 重复 的 实例 如 


Lm A 


9.1 


2 


样式 四) 


5-45 


可 用 计数 器 
从 计算 机 迁 择 计数 器 00 


Come LW] 


本 地 计算 机 > 


IPsec IKEv1 IPv4 
IPsec IKEv1 IPv6 
IPsec IKEv2 1Pv4 
IPsec IKEv2 IPv6 


Drrmtw 


“性 能 监视 器 属性 ?对 话 杠 


Bg) « 


图 5-46 添加 计数 器 
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输入 源 主机 、 目 标 主 机 IP 地 址 和 端口 ,如 图 5-47 所 示 。 


独裁 者 . : :Powered by 小 金 ::. (C)2002 HBUO S ZB 


sj Autocrat DDoS Client 75, es eu 


Hei Bai Union 
mubi FHE. AME. theücrat. EESE 协力 制作 E-BAIL: cj cÜ0TRcnuninet. com 
[mm — E ae 


回 随机 产生 源 端 口 WIP [1921681109 
口 随机 产生 源 |P 。 目标 |P [1921681112 


向 信 控制 台 : 
Demag o 
信使 服务 | 


| [gia ] tini « »|2 


-信息 

活动 主机 :1 无 效 主机 :0 利用 让 roos 000000000000 
1192 168.1.112 连 接 成 功 , 正在 启动 攻击 程序 ; syn 192. 168. 1. 109 62065 192. 168.1. 112 21 
192. 169. 1.112 - SYN 启动 成 功 


图 5-47 独裁 者 界面 


(2) 单 击 “开始 攻击 ”按钮 ,对 被 攻击 主机 进行 SYN 洪水 攻击 。 
(3) 攻击 后 ,在 被 攻击 主机 观察 “性 能 "监控 程序 中 图 形 的 变化 ,并 通过 “任务 管理 器 ” 
性 能 页 签 观 察 内 存 的 使 用 状况 ,比较 攻击 前 后 系统 性 能 的 变化 情况 ,如 图 5-48 所 示 。 


1004 


04- 
135418 135251 135301 135311 135321 135331 13:53:41 135351 13:54:01 135417 


最 新 56320 F33 51182 最 小 [ 3400 最 大 | 69.580 持续 时 间 | 140 


图 5-48 被 攻击 主机 性 能 监视 器 


(4) 攻击 者 停止 洪水 发 送 ,并 停止 协议 分 析 器 捕获 ,分 析 攻 击 者 与 对 被 攻击 主机 的 
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TCP 会 话 数据 。 
(5) 通过 对 Sniffer 所 捕获 到 的 数据 包 进 行 分 析 ,观察 在 攻击 者 对 被 攻击 主机 开放 的 
TCP 端口 进行 洪 泛 攻击 时 的 三 次 握手 情况 ,如 图 5-49 所 示 。 


图 5-49 攻击 主机 的 Sniffer 捕获 界面 


55 3J 题 


一 、 填 空 题 

1. 在 计算 机 网 络 安全 技术 中 ,DoS 的 中 文 译名 是 

2. 的 特点 是 先 用 一 些 典 型 的 黑客 人 侵 手 段 控制 一 些 高 带宽 的 服务 器 ,然后 
在 这 些 服 务 器 上 安装 攻击 进程 , 集 数 十 台数 百 台 甚 至 上 千 台 机 器 的 力量 对 单一 攻击 目标 


3. SYN flooding 攻击 即 是 利用 的 协议 设计 弱点 。 
4. 是 一 个 孤立 的 系统 集合 ,其 首要 目的 是 利用 真实 或 模拟 的 漏洞 或 利用 系 
统 配置 中 的 ,引诱 攻击 者 发 起 攻击 。 它 吸引 攻击 者 ,并 能 记录 攻击 者 的 活动 ,从 
而 更 好 地 理解 攻击 者 的 攻击 。 
二 、 选 择 题 
1. 网 络 监听 是 ( Je 
A. 远程 观察 一 个 用 户 的 计算 机 B. 监视 网 络 的 状态 .传输 的 数据 流 
C. 监视 PC 系统 的 运行 情况 D. 网 络 的 发 展 方向 


2. 如 果 要 使 Sniffer 能 够 正常 抓 取 数 据 , 一 个 重要 的 前 提 是 网 卡 要 设置 成 ( ) 
模式 。 
A. 广播 B. 共享 C. 混杂 D. 交换 
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3. Sniffer 在 抓 取 数 据 的 时 候 , 实 际 上 是 在 OSI 模型 的 ( ) 抓 取 。 
A. 物理 层 B. 数据 链 路 层 C. 网 络 层 D. 传输 层 
4. TCP 协议 是 攻击 者 攻击 方法 的 技术 基础 ,主要 问题 存在 于 TCP 的 三 次 握手 协议 


上 ,以 下 哪个 顺序 是 正常 的 TCP 三 次 握手 过 程 ? ) 


CD 请 求 端 A 发 送 一 个 初始 序号 为 ISNa 的 SYN 报 文 
© AXE SYN-- ACK 报 文 进行 确认 ,同时 将 ISNa-- 1, ISNb--1 发 送 给 B 
© 被 请 求 端 B 收 到 A 的 SYN 报 文 后 ,发 送 给 A 自己 的 初始 序列 号 ISNb, 同 时 将 


ISNa 十 1 作为 确认 的 SYN 十 ACK {RX 


A. DO B. 099 C. © D. 909 
5. DDoS 攻击 破坏 网 络 的 ( Jis 
A. 可 用 性 B. 保密 性 C. 完整 性 D. 真实 性 


6. 拒绝 服务 攻击 ( )。 
A. 用 超出 被 攻击 目标 处 理 能 力 的 海量 数据 包销 耗 可 用 系统 带宽 资源 等 方法 的 
攻击 
B. 全 称 是 Distributed Denial Of Service 
C. 拒绝 来 自 一 个 服务 器 所 发 送 回 应 请 求 的 指令 
D. 入 侵 并 控制 一 个 服务 器 后 进行 远程 关机 
7. 当 感 觉 到 操作 系统 运行 速度 明显 减 慢 ,打开 任务 管理 器 后 发 现 CPU 的 使 用 率 达 


到 100% 时 ,最 有 可 能 受到 了 ( ) 攻 击 。 
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A. 特洛伊 木马 B. 拒绝 服务 C. 欺骗 D. 中 间 人 攻击 
8. 死亡 之 Ping、 泪 滴 攻 击 等 都 属于 ( ) 攻 击 。 

A. 漏洞 B. DoS C. 协议 D. 格式 字符 
三 、 简 答题 


1. 什么 是 网 络 嗅 探 ? 简 述 在 局 域 网 上 实现 监听 的 基本 原理 。 

2. 如 何 防范 网 络 监听 ? 

3. 什么 是 蜜 饶 系 统 ? 

4. 什么 是 拒绝 服务 攻击 ? 

5. 拒绝 服务 攻击 是 如 何 导 致 的 ? 说 明 SYNFlood 攻击 导致 拒绝 服务 的 原理 。 
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61 项 目 导 入 


在 网 络 安全 日 益 受 到 关注 的 今天 ,加 密 技 术 在 各 方面 的 应 用 也 越 来 越 突出 和 主要 ,在 
各 方面 都 发 挥 着 举足轻重 的 作用 。 本 项 目 主要 介绍 加 密 技 术 的 应 用 ,首先 概述 了 加 密 技 
术 的 概念 及 其 分 类 ,然后 主要 闸 述 了 加 密 技 术 在 一 些 方面 的 应 用 ,主要 的 应 用 方面 包括 对 
PGP 的 安装 、 密 钥 对 的 生成 文件 加 密 签名 的 实现 .电子 邮件 加 密 /解密 等 。 进 行 这 些 操 
作 必 须 首先 要 对 该 内 容 有 一 个 大 概 的 理解 , 才 使 整个 实验 做 起 来 不 那么 盲目 ,在 本 次 实验 
后 ,我 们 会 加 深 对 数字 签名 及 公 钥 密码 算法 的 理解 。 


62 职业 能 力 目 标 和 要 求 


。 了 解 并 掌握 古典 与 现代 密码 学 的 基本 原理 与 简单 算法 。 
。 掌握 Windows 7 加 密 文件 系统 的 应 用 。 

掌握 PGP 的 安装 、 密 钥 对 的 生成 方法 。 

掌握 使 用 PGP 对 文件 加 密 签 名 的 方法 。 

掌握 使 用 PGP 对 电子 邮件 加 密 /解密 及 签名 的 方法 。 

。 了 解 PKI 与 证 书 服务 的 工作 原理 。 

。 熟练 掌握 安装 证 书 服务 及 配置 方法 。 


63 相关 知识 点 


6.3.1 密码 技术 基本 概念 


加 密 技 术 是 最 常用 的 安全 保密 手段 , 它 是 利用 技术 手段 把 重要 的 数据 变 为 乱码 (加 
密 ) 传 送 , 到 达 目 的 地 后 再 用 相同 或 不 同 的 手段 还 原 (解密 )。 

。 明文 : 采用 密码 方法 隐藏 和 保护 机 密 消 息 ,使 未 授权 者 不 能 提取 信息 。 

t SEC. 用 密码 将 明文 变换 成 另 一 种 隐蔽 形式 。 

。 加 密 : 进行 明文 到 密 文 的 变换 。 
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解密 (或 脱 密 ) : 由 合法 接收 者 从 密 文 中 恢复 出 明文 。 

破译 : 非法 接收 者 试图 从 密 文中 分 析出 明文 。 

加 密 算法 : 对 明文 进行 加 密 时 采用 的 一 组 规则 。 

解密 算法 : 对 密 文 解密 时 采用 的 一 组 规则 。 

密 钥 : 加 密 算法 和 解密 算法 是 在 一 组 仅 有 合法 用 户 知道 的 秘密 信息 , 即 称 为 密 钥 
的 控制 下 进行 的 ,加 密 和 解密 过 程 中 使 用 的 密 钥 分 别称 为 加 密 密 钥 和 解密 密 钥 。 
如 图 6-1 所 示 显 示 了 数据 加 密 的 过 程 。 


¥%# | 
ww E s 
我 是 小 芳 | x -Y ams 
M E | »| i 
小 强 
图 6-1 数据 加 密 过 程 


o 
ex 
ŠŠ 


6.3.2 古典 加 密 技 术 


密码 研究 已 有 数 千年 的 历史 。 许 多 古典 密码 虽然 已 经 经 受 不 住 现代 手段 的 攻击 ,但 
是 它们 在 密码 研究 史上 的 贡献 还 是 不 可 否认 的 ,甚至 许多 古典 密码 思想 至 今 仍 然 被 广泛 
使 用 。 为 了 使 读者 对 密码 有 一 个 更 加 直观 的 认识 ,这 里 介绍 几 种 非常 简单 但 却 非 常 著名 
的 古典 密码 体制 。 


1. 代替 密码 


Caesar 密码 是 传统 的 代替 加 密 法 , 当 没 有 发 生 加 密 ( 即 没有 发 生 移 位 ) 之 前 ,其 置换 
表 如 表 6-1 所 示 。 


表 6-1 Caesar 置换 表 (1) 
f 


a b c d e g h i i k 1 m 
A B c D E F G H I J K L M 
n o p q 工 S t u v w x y z 
N [9] P Q R S T U v w X Y Z 
加 密 时 每 一 个 字母 向 前 推移 上 位 ,例如 当 &=5 时 ,置换 表 如 表 6-2 所 示 。 
表 6-2 Caesar 置换 表 (2) 
a b é d e f g h i j k 1 m 
F G H I J K L M N o P Q R 
n o p q r s t u v w x y z 
S T U V WwW X Y Z A B C D E 
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比如 对 于 明文 : 

data security has evolved rapidly 

经 过 加 密 后 就 可 以 得 到 密 文 : 

IFYF XJHZWNYD MFX JATQAJI WFUNIQD 


2. 单 表 置换 密码 


单 表 置 换 密码 也 是 一 种 传统 的 代替 密码 算法 ,在 算法 中 维护 着 一 个 置换 表 , 这 个 置换 
表 记 录 了 明文 和 密 文 的 对 照 关 系 。 当 没有 发 生 加 密 ( 即 没有 发 生 置换 ) 之 前 ,其 置换 表 如 
X 6-4 所 示 。 


表 6-3 ERRO) 
a b c d e f g h i j k 1 m 
A B c D E F G H I J K L M 
n o p q r s t u v w x y 
N Oo P Q R S T U v WwW X Y Z 


在 单 表 置 换算 法 中 , 密 钥 是 由 一 组 英文 字符 和 空格 组 成 的 , 称 为 密 钥 词组 ,例如 当 输 
入 密 钥 词组 I LOVEMY COUNTRY 后 ,对 应 的 置换 表 如 表 6-5 所 示 。 


表 6-4 置换 表 (2) 
a b c d e f g h i i k 1 m 
I L O V E M Y c U N T R A 
n o p q r s t u v w x y z 
B D F G H J K P Q S Ww X Z 


在 表 6-4 中 ILOVEMYCUNTR 是 密 钥 词组 I LOVE MY COUNTRY 略 去 前 面 已 
出 现 过 的 字符 O 和 Y 依次 写 下 的 。 后 面 ABD…WXZ 则 是 密 钥 词组 中 未 出 现 的 字母 按 
照 英 文字 母 表 顺序 排列 成 的 , 密 钥 词组 可 作为 密码 的 标志 , 记 住 这 个 密 钥 词组 就 能 掌握 字 
母 加 密 置换 的 全 过 程 。 

这 样 对 于 明文 data security has evolved rapidly ,按照 表 6-4 的 置换 关系 ,就 可 以 得 到 
密 文 VIKIJEOPHUKX CIJ EQDRQEV HIFUVRX, 


6.3.3 ”对称 加 密 及 DES 算法 


1. 对 称 加 密 


如 图 6-2 所 示 ,对 称 加 密 采用 了 对 称 密码 编码 技术 , 它 的 特点 是 文件 加 密 和 解密 使 用 
相同 的 密 钥 , 即 加 密 密 钥 也 可 以 用 作 解 密 密 钥 , 这 种 方法 在 密码 学 中 叫 作 对 称 加 密 算 法 。 


2. DES 算法 


DES(Data Encryption Standard) 是 在 20 世纪 70 年 代 中 期 由 美国 IBM 公司 发 展 出 
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Y Yo 
[SEE E., 


6-2 ”对 称 加 密 


来 的 , 且 被 美国 国家 标准 局 公布 为 数据 加 密 标准 的 一 种 分 组 加 密 法 。 

DES 属于 分 组 加 密 法 ,而 分 组 加 密 法 就 是 对 一 定 大 小 的 明文 或 密 文 来 做 加 密 或 解密 
动作 。 在 这 个 加 密 系统 中 ,其 每 次 加 密 或 解密 的 分 组 大 小 均 为 64 位 ,所 以 DES 没有 密码 
扩充 问题 。 对 明文 做 分 组 切割 时 ,可 能 最 后 一 个 分 组 会 小 于 64 位 ,此 时 要 在 此 分 组 之 后 
附加 “0” 位 。 另 外 ,DES 所 用 的 加 密 或 解密 密 钥 也 是 64 位 大 小 ,但 因 其 中 以 8 个 位 是 用 
来 做 奇偶 校 验 , 所 以 64 位 中 真正 起 密 钥 作用 的 只 有 56 位 。 加 密 与 解密 所 使 用 的 算法 除 
了 子 密 钥 的 顺序 不 同 之 外 ,其 他 部 分 则 是 完全 相同 的 。 


3. Des 算法 的 原理 


Des 算法 的 入 口 参 数 有 3 个 : Key、Data 和 Mode, HP key 为 8 个 字 节 共 64 位 ,是 
Des 算法 的 工作 密 钥 。Data 也 为 8 个 字 节 64 位 ,是 要 被 加 密 或 解密 的 数据 。Mode 为 
Des 的 工作 方式 有 两 种 : 加 密 或 解密 。 

如 果 Mode 为 加 密 , 则 用 key 把 数据 Data 进行 加 密 , 生 成 Data 的 密码 形式 (64 位 ) 作 
为 Des 的 输出 结果 。 

如 果 Mode 为 解密 , 则 用 key 把 密码 形式 的 数据 Data 解密 ,还 原 为 Data 的 明码 形式 
(64 位 ) 作 为 Des 的 输出 结果 。 


4. 算法 实现 步骤 


实现 加 密 需 要 三 个 步骤 。 
第 一 步 : 变换 明文 。 对 给 定 的 64 位 的 明文 zx, 首先 通过 一 个 置换 IP 表 来 重新 排列 
工 ,从 而 构造 出 64 位 的 ro, zro — IPC) =L RS JEP Lo 表示 xo 的 前 32 位 ,Ro 表示 zo 的 
后 32 位 。 
第 二 步 : 按照 规则 和 迭代。 规则 为 : 
LR 
R,—L, OQ f(Ra.K) (i=1,2,3,.…,16) 
经 过 第 一 步 变换 已 经 得 到 Lo AR 的 值 , 其 中 符号 由 表示 数学 运算 * 异 或 ", 三 表示 一 
种 置换 ,由 S 盒 置换 构成 ,天 ;, 是 一 些 由 密 钥 编排 函数 产生 的 比特 块 。 太 和 天 ; 将 在 后 面 
介绍 。 
第 三 步 : 对 LieRis 利 用 IP-1 作 逆 置换 ,就 得 到 了 密 文 yo 加密 过 程 ,如 图 6-3 所 示 。 
CD IP( 初 始 置换 ) 置 换 表 和 IP-1 逆 置 换 表 
输入 的 64 位 数据 按 TP 表 置 换 进行 重新 组 合 , 并 把 输出 分 为 L。 和 R。 两 部 分 ,每 部 分 
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输入 64 位 明文 | 

=m | 

n r] 
1 


III LPR 
RFL; AR; K) (=1,2,3,…,16) 


1 
[TT | 
Y 


输出 64 位 密 文 


6-3 "cUm pe 


各 32 位 ,其 IP 表 置换 见 表 6-5, 


X65 IP 表 置换 
58 | 50 | 12 | 34 | 26 | 18 | 10 | 2 | 60 | 52 | 44 | 36 | 28 | 20 | 12 
62 | 54 | 46 | 38 | 30 | 22 | 14 | 6 | 64 | 56 | 48 | 40 | 32 | 24 | 16 
57 | 49 | 41 | 33 | 25 | 17 | 9 1 | 59 | 5f | 43 | 35 | 27 | i9 | 1 
61 | 53 | 45 | 37 | 29 | 21 | 1 | 35 | 63 | 55 | 47 | 39 | 31 | 23 | 15 


~j joj e 


将 输入 的 64 位 明文 的 第 58 位 换 到 第 1 位 ,第 50 位 换 到 第 2 位 ,依次 类 推 ,最 后 一 位 
是 原来 的 第 7 位 。L。 和 R。 则 是 换 位 输出 后 的 两 部 分 ,L。 是 输出 的 左 32 位 ,R。 是 右 32 
位 。 比 如 : 置换 前 的 输入 值 为 Di D;D;… Ds , 则 经 过 初 置换 后 的 结果 为 : Lo = Dss Dio… 
Ds ,Re 一 Di D + Dr 。 

经 过 16 次 迭代 运算 后 。 得 到 Li A Ri o KiE YE 2S fi A HEIT e, BI 13:5] 5 Ci 
出 。 逆 置换 正 是 初始 置 的 逆 运 算 。 例 如 ,第 1 位 经 过 初始 置换 后 ,处 于 第 40 位 ,而 通过 道 
置换 IP-1 ,又 将 第 40 位 换 回 到 第 1 fr. Hoc gd IP-1 规则 表 见 表 6-6。 


X66 ZERK IP- 


40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 31 

38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 

36 4 44 12 52 20 60 28 35 3 43 1 51 19 59 27 

34 2 42 10 50 18 58 26 33 i: 4l 9 49 17 57 25 
(2) 函数 了 


函数 f 有 两 个 输入 : 32 位 的 R;_1 和 48 位 Kil 
E 变换 的 算法 是 从 Ri 1 的 32 位 中 选取 某 些 位 ,构成 48 fu. BD E 34 32 位 扩展 位 
48 位 。 变 换 规 则 根据 已 位 选择 表 , 如 表 6-7 所 示 。 
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表 6-7 E( 扩 展 置换 ) 位 选择 表 
32 1 2 3 4 5 6 5 6 7 8 9 8 $ 10 |11 
12 13 12 13 14 15 16 15 16 17 18 19 20 21 20 |21 
22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 Ld 


K: 是 由 密 钥 产生 的 48 位 比特 串 , 具 体 的 算法 是 : 将 EE 的 选 位 结果 与 K; 作 异 或 操 
作 , 得 到 一 个 48 位 输出 。 分 成 8 组 ,每 组 6 位 ,作为 8 个 S 盒 的 输入 。 
每 个 S 盒 输出 4 位 , 共 32 位 。S 盒 的 输出 作为 P 变换 的 输入 ,P 的 功能 是 对 输入 进 
行 置换 ,P 换 位 表 见 表 6-8。 
X68 ”P( 压 缩 置换 ) 换 位 表 


G) TEH K: 

假设 密 钥 为 K ,长 度 为 64 位 ,但 是 其 中 第 8、16、24、32、40、48、64 用 作 奇 偶 校 验 位 , 实 
际 上 密 钥 长 度 为 56 位 。K 的 下 标 i 的 取 值 范围 是 1—16. 

首先 ,对 于 给 定 的 密 钥 ,应 用 PCI 变换 进行 选 位 , 选 定 后 的 结果 是 56 位 , 设 其 前 
28 位 为 Cu, 后 28 位 为 Do, ILK 6-9, 


表 6-9 PC 选 位 表 
57 49 41 33 25 17 9 1 58 50 42 34 26 18 
10 2 59 51 43 35 27 19 11 3 60 52 44 36 
63 55 AT 39 31 23 15 7 62 54 46 38 30 | 22 
14 6 61 53 45 37 29 21 13 5 28 20 12 4 


第 1 轮 : 对 Co 作 左 移 LS1 得 到 C; ,对 Do 作 左 移 LS1 得 到 Di ,对 Ci Di 应 用 PC2 进 
行 选 位 ,得 到 K,. Hh LS1 是 左 移 的 位 数 ,如 表 6-10 所 示 。 


表 6-10 LS( 循 环 左 移 ) 移 位 表 


表 的 第 1 列 是 LS1, 第 2 列 是 LS2, 依 次 类 推 。 左 移 的 原理 是 所 有 二 进位 向 左 移动 ， 
原来 最 右边 的 比特 位 移动 到 最 左边 ,如 表 6-11 所 示 。 


表 6-11 PC2 选 位 表 


14 17 11 24 1 5 3 28 15 6 21 10 
23 19 12 4 26 8 16 d 27 20 13 2 
41 52 31 37 47 55 30 40 51 45 33 48 
44 49 39 56 34 53 46 42 50 36 29 32 


第 2 轮 : 对 Cl 和 Di 作 左 移 LS2 得 到 C, 和 D; ,进一步 对 C; D; 应 用 PC2 进行 选 位 ， 
得 到 K, ,如 此 继续 ,分 别 得 到 K KiKi o 
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S 盒 以 6 位 作为 输入 ,而 以 4 位 作为 输出 , 现 以 S. 为 例 说 明 其 过 程 。 假 设 输入 为 
A=AiA:A:AA;A,, 则 4A:A:A4A; ,所 代表 的 数 是 0 一 15 之 间 的 一 个 数 , 记 为 : K— 
A:A;A As; H AAs 所 代表 的 数 是 0 一 3 间 的 一 个 数 , 记 为 也 =A1As。 E S IH f. 
K 列 找到 一 个 数 B,B 在 0~15 之 间 , 它 可 以 用 4 位 二 进 制 表示 ,为 B= Bi B; Bi B, ,这 就 
是 S, 的 输出 。 

S fx ih 8 张 数据 表 组 成 , 见 表 6-12。 


表 6-12 S 盒 由 8 张 表 组 成 
Sı 


14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 
0 15 7 4 14 2 13 1 10 6 12 1 9 5 3 8 
4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0 

15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13 

S: 

15 1 8 14 6 11 4 9 7 2 13 12 0 5 10 
3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5 
0 14 7 11 10 4 13 1 5 8 12 6 9 3 2 15 

13 8 10 1 3 15 4 2 11 6 7 12 0 5 14 9 

S; 

10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 8 

13 7 0 9 3 4 6 10 2 8 5 14 12 11 15 1 

13 6 4 9 8 15 0 11 1 2 12 5 10 14 7 
1 10 13 0 6 9 8 4 15 14 3 11 5 2 12 

Sı 
7 13 14 3 0 6 9 10 1 2 8 5 11 12 4 15 

13 8 11 5 15 0 3 4 F 2 12 1 10 14 9 

10 6 9 0 12 11 7 13 15 1 3 14 5 2 8 4 
3 15 0 6 10 1 13 8 9 4 5 1 12 7 2 14 

S; 

2 12 4 D! 7 10 11 6 8 5 3 15 13 0 14 9 
14 11 2 12 4 7 13 3 5 0 15 10 3 9 8 6 
4 2 1 11 10 13 7 8 15 9 12 5 6 3 0 14 
11 8 12 T 1 14 2 13 6 15 0 9 10 4 5 3 
S; 

12 1 10 15 9 2 6 8 0 13 3 4 14 7 5 qa 
10 15 4 2 7 12 9 5 6 1 13 14 0 11 3 8 
9 14 15 5 2 8 12 3 7T 0 4 10 i 13 11 6 
4 3 2 12 9 5 15 10 11 14 2 7 6 0 8 13 
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续 表 
S; 

4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 1 
13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6 
1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2 
6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12 
S; 

13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 7 
1 15 13 8 10 3 7 4 12 5 6 1 0 14 9 2 
7 1 4 1 9 12 14 2 0 6 10 13 15 3 5 8 
2 1 14 T 4 10 8 13 15 12 9 0 3 5 6 11 


DES 算法 的 解密 过 程 是 一 样 的 ,区 别 仅仅 在 于 第 1 次 迭代 时 用 子 密 钥 Kis; 第 2 次 
Kyu ;第 3 次 用 K。, 算 法 本 身 并 没有 任何 变化 。DES 的 算法 是 对 称 的 , 既 可 用 于 加 密 ,又 
可 用 于 解密 。 


6.3.4 公开 密 铀 及 RSA 算法 


1. 公开 密 钥 


如 图 6-4 所 示 , 非 对 称 式 加 密 就 是 加 密 和 解密 所 使 用 的 不 是 同一 个 密 钥 ,通常 有 两 个 
密 钥 , 称 为 公 钥 和 私 钥 , 它 们 两 个 必须 配对 使 用 ,否则 不 能 打开 加 密 文件 。 这 里 的 公 钥 是 
指 可 以 对 外 公布 的 , 私 钥 则 不 能 ,只 能 由 持 有 人 一 个 人 知道 。 它 的 优越 性 就 在 这 里 ,因为 
对 称 式 的 加 密 方 法 如 果 是 在 网 络 上 传输 加 密 文 件 就 很 难 把 密 钥 告诉 对 方 ,不 管用 什么 方 
法 都 有 可 能 被 别人 窃听 到 。 而 非 对称 式 的 加 密 方 法 有 两 个 密 钥 , 且 其 中 的 公 钥 是 可 以 公 
开 的 ,也 就 不 怕 别 人 知道 , 收 件 人 解密 时 只 要 用 自己 的 私 钥 即 可 ,这 样 就 很 好 地 避免 了 密 
钥 的 传输 安全 性 问题 。 


Yo EZZ] 
e EN sj 
我 是 小 芳 F | 我 是 小 芳 
小 芳 


a 
& 
* 
9 


小 芳 
M | E D t M 
对 方 的 公 钥 B 自己 的 私 钥 B 
图 6-4 非 对 称 加 密 


2. RSA 算法 


RSA 是 第 一 个 比较 完善 的 公开 密 钥 算 法 , 它 既 能 用 于 加 密 , 也 能 用 于 数字 签名 。 
RSA 以 它 的 三 个 发 明 者 Ron Rivest, Adi Shamir, Leonard Adleman 的 名 字 首 字母 命名 ， 
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这 个 算法 经 受 住 了 多 年 深入 的 密码 分 析 ,虽然 密码 分 析 者 既 不 能 证 明 也 不 能 否定 RSA 的 
安全 性 ,但 这 恰恰 说 明 该 算法 有 一 定 的 可 信 性 ,目前 它 已 经 成 为 最 流行 的 公开 密 钥 算法 。 

RSA 的 安全 基于 大 数 分 解 的 难度 。 其 公 钥 和 私 钥 是 一 对 大 素数 (100 一 200 位 十 进 
制 数 或 更 大 ) 的 函数 。 从 一 个 公 钥 和 密 文 恢复 出 明文 的 难度 ,等 价 于 分 解 两 个 大 素数 之 积 
(这 是 公认 的 数学 难题 ) 。 

RSA 的 公 钥 、 私 钥 的 组 成 ,以 及 加 密 、 解 密 的 公式 可 见 表 6-13。 

表 6-13 ”RSA 的 公 、 私 钥 及 加 、 解 密 公式 


类 x 参数 或 公式 
" n: 两 素数 p 和 g 的 乘积 (p 和 9g 必须 保密 ) 
AA KU e: 与 (p 一 1)(g 一 1) 互 质 
私 钥 KR d: e'(mod(p—1)(g—1)) 
n: 
加 密 C-—m' mod n 
解密 m-—C* mod n 


我 们 先 复习 一 下 数学 上 的 几 个 基本 概念 ,它们 在 后 面 的 介绍 中 要 用 到 。 
3. 什么 是 “素数 ” 


素数 是 这 样 的 整数 , 它 除 了 能 表示 为 它 自 己 和 1 的 乘积 以 外 ,不 能 表示 为 任何 其 他 两 
个 整数 的 乘积 。 例 如 ,15 一 3X5, 所 以 15 不 是 素数 ;又 如 ,12 二 6X2 二 4X3, 所 以 12 也 不 
是 素数 。 另 外 ,13 除了 等 于 13X1 以 外 ,不 能 表示 为 其 他 任何 两 个 整数 的 乘积 ,所 以 13 
是 一 个 素数 。 素 数 也 称 为 “质数 ”。 


4. 什么 是 “ 互 质数 "(或 “ 互 素数 ”) 


小 学 数学 教材 对 互 质数 是 这 样 定义 的 :“ 公 约 数 只 有 1 的 两 个 数 , 叫 作 互 质数 ,” 这 里 
所 说 的 “两 个 数 ” 是 指 自然 数 。 

判别 方法 主要 有 以 下 几 种 (不 限于 此 ): 

COD 两 个 质数 一 定 是 互 质数 。 例 如 ,2 与 7、13 与 19。 

(2) 一 个 质数 如 果 不 能 整除 另 一 个 合 数 , 这 两 个 数 为 互 质数 ,例如 ,3 与 10、5 与 26。 

(3) 1 不 是 质数 也 不 是 合 数 , 它 和 任何 一 个 自然 数 在 一 起 都 是 互 质数 ,如 1 和 9908。 

(4) 相 邻 的 两 个 自然 数 是 互 质数 ,如 15 与 16。 

(5) 相 邻 的 两 个 奇数 是 互 质数 ,如 49 与 51. 

(6) 大 数 是 质数 的 两 个 数 是 互 质数 ,如 97 与 88. 

(7) 小 数 是 质数 、 大 数 不 是 小 数 的 倍数 的 两 个 数 是 互 质数 ,如 7 和 16。 

(8) 两 个 数 都 是 合 数 (两 个 数 差 又 较 大 ) ,小 数 所 有 的 质 因数 都 不 是 大 数 的 约 数 , 这 两 
个 数 是 互 质数 。 如 357 -5 715,357=3X7X17, m 3,7 和 17 都 不 是 715 的 约 数 ,这 两 个 数 
为 互 质数 。 


5. 什么 是 模 指数 运算 


指数 运算 谁 都 懂 , 不 必 说 了 , 先 说 说 模 运算 。 模 运算 是 整数 运算 ,有 一 个 整数 mn, 以 n 
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为 模 做 模 运 算 , 即 m mod ne EERIE? iE m Bn 整除 ,只 取 所 得 的 余数 作为 结果 ,就 叫 
作 模 运算 。 例 如 ,10 mod 3—1,26 mod 6—2,28 mod 2 —0 等 。 模 指数 运算 就 是 先 做 指 
数 运算 , 取 其 结果 再 做 模 运 算 ,如 ,53 mod 7—125 mod 7=6, 


6. 算法 描述 


(1) 选择 一 对 不 同 的 .足够 大 的 素数 户 和 qd。 

(2) 计算 n— pq. 

(3) 计算 f£G0 —Cp— D G— D ,同时 对 p 和 g 严 加 保密 ,不 让 任何 人 知道 。 

(4) 找 一 个 与 fF(Co) 互 质 的 数 人 , 且 1<k< fn). 

(5) 计算 d ,使 得 d&—1 mod f(n)。 这 个 公式 也 可 以 表达 为 4d 三 k 一 1 mod f(n) 

这 里 要 解释 一 下 ,三 是 数论 中 表示 同 余 的 符号 。 公 式 中 ,三 符号 的 左边 必须 和 符号 右 
边 同 余 , 也 就 是 两 边 模 运 算 结果 相同 。 显 而 易 见 ,不 管 f(n) 取 什么 值 ,符号 右边 1 mod 
了 (mn) 的 结果 都 等 于 1; 符号 的 左边 4 与 & 的 乘积 做 模 运 算 后 的 结果 也 必须 等 于 1。 这 就 需 
要 计算 出 d 的 值 ,让 这 个 同 余 等 式 能 够 成 立 。 

(6) 公 钥 KU=(e,n), 私 钥 KR=(d,n)。 

CL) 加 密 时 , 先 将 明文 变换 成 0 一 一 1 的 一 个 整数 M。 若 明文 较 长 ,可 先 分 割 成 适当 
的 组 ,然后 再 进行 交换 。 设 密 文 为 C, 则 加 密 过 程 为 : C— Me mod n). 

(8) 解密 过 程 为 : M 寺 Cd (mod n). 


7. 实例 描述 


在 这 篇 科普 小 文章 里 ,不 可 能 对 RSA 算法 的 正确 性 作 严 格 的 数学 证 明 , 但 我 们 可 以 
通过 一 个 简单 的 例子 来 理解 RSA 的 工作 原理 。 为 了 便于 计算 。 在 以 下 实例 中 只 选取 小 
数值 的 素数 p、g, 以 及 ,假设 用 户 A 需要 将 明文 key 通过 RSA 加 密 后 传递 给 用 户 B, 过 
程 如 下 。 

CD 设计 公私 密 钥 (e,n) 和 (d,n) 

令 p=3,g==11, 得 出 n=p*，g=3X11=33;f(n)=(p 一 1)(g 一 1)=2X10=20; 取 
e 一 3,(3 与 20 H.E) ll] e+ 4—1 mod f(n), B 3Xd=1 mod 20, d 怎样 取 值 呢 ? 可 以 用 
试 算 的 办 法 来 寻找 。 试 算 结 果 见 表 6-14。 


表 6-14 试 算 结 果 
d e*d—3Xd Ce * d) mod (—D(g—1) — (3X4) mod 20 
1 3 3 
2 6 6 
3 9 9 
4 12 12 
5 15 15 
6 18 18 
7 21 i 
8 24 3 
9 27 6 
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通过 试 算 可 以 找到 , 当 d=7 时 ,e* d4—1 mod f(n) 同 余 等 式 成 立 。 因 此 ,可 令 d=7。 
从 而 我 们 可 以 设计 出 一 对 公私 密 钥 ,加 密 密 钥 ( 公 钥 ) 为 : KU — Ce — (3,33) ,解密 密 钥 
( 私 钥 ) 为 : KR=(d,n)= (1,33). 
(2) 英文 数字 化 
将 明文 信息 数字 化 ,并 将 每 块 两 个 数字 分 组 。 假 定 明文 英文 字母 编码 表 为 按 字母 顺 
序 排列 数值 , 见 表 6-15。 


表 6-15 ”明文 英 字 字 母 编码 表 


字母 a b c d e f g h i j k 1 m 
码 值 01 02 03 04 05 06 07 08 09 10 11 12 13 
字母 n o p q r s t u v w x y z 
码 值 14 15 16 17 18 19 20 21 22 23 24 25 26 


则 得 到 分 组 后 的 key 的 明文 信息 为 : 11,05,25。 
(3) 明文 加 密 
用 户 加 密 密 钥 (3,33) 将 数字 化 明文 分 组 信息 加 密 成 密 文 。 由 C=Me (mod nn) 得 : 
M1 = (CD (mod n) = 11’ (mod 33) = 11 
M2 = (C2)! (mod n) = 31’ (mod 33) = 05 
M3 = (C3)? (mod n) = 16! (mod 33) = 25 
因此 ,得 到 相应 的 密 文 信息 为 : 11,26,16, 
(4) 密 文 解密 
HP B 收 到 密 文 , 若 将 其 解密 ,只 需要 计算 M=Cd (mod n), 即 : 
MI = (CI)? (mod n) = 11’ (mod 33) = 11 
M2 = (C2)! (mod n) = 31’ (mod 33) = 05 
M3 = (C3)? (mod n) = 16! (mod 33) = 25 
用 户 B 得 到 的 明文 信息 为 : 11,05,25。 根 据 上 面 的 编码 表 将 其 转换 为 英文 ,又 得 到 
了 恢复 后 的 原文 key。 
由 于 RSA 算法 的 公 钥 私 钥 的 长 度 ( 模 长 度 ) 要 到 1024 位 甚至 2048 位 才能 保证 安全 ， 
EE, pge 的 选取 、 公 钥 私 钥 的 生成 ,加 密 解 密 模 指数 运算 都 有 一 定 的 计算 程序 ,需要 计 
算 机 高 速 完成 。 


6.3.5 数字 证 书 


数字 证 书 又 称 为 数字 标识 , 它 提 供 了 一 种 在 Internet. 上 进行 身份 验证 的 方式 ,是 用 来 
标志 和 证 明 网 络 通信 双方 身份 的 数字 信息 文件 ,与 司机 驾照 或 日 常生 活 中 的 身份 证 相似 。 
在 网 上 进行 电子 商务 活动 时 ,交易 双方 需要 使 用 数字 证 书 来 表明 自己 的 身份 ,并 使 用 数字 
证 书 来 进行 有 关 的 交易 操作 。 通 俗 地 讲 ,数字 证 书 就 是 个 人 或 单位 在 Internet 的 身份 证 。 

数字 证 书 主要 包括 三 方面 的 内 容 : 证 书 所 有 者 的 信息 、 证 书 所 有 者 的 公开 密 钥 和 证 
书 颁发 机 构 的 签名 。 
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在 获得 数字 证 书 之 前 ,必须 向 一 个 合法 的 认证 机 构 提 交 证 书 申请 。 需 要 填写 书面 的 
申请 表格 (试用 型 数字 证 书 除外 ) ,向 认证 中 心 的 证 书 申请 审核 机 构 提交 相关 的 身份 证 明 
材料 以 供 审核 。 当 用 户 的 申请 通过 审核 并 且 交 纳 相 关 的 费用 后 ,证 书 申请 审核 机 构 会 向 
用 户 返 回 证 书 业 务 受理 号 和 证 书 下 载 密码 。 通 过 这 个 证 书 业务 受理 号 及 下 载 密码 ,就 可 
以 到 认证 机 构 的 网 站 上 下 载 和 安装 证 书 了 。 


6.3.6 公 包 基础 设施 (PKD) 


1. 基本 概念 


随 着 Internet 的 普及 ,人 们 通过 互联 网 进行 的 沟通 越 来 越 多 ,相应 地 通过 网 络 进行 商 
务 活动 (电子 商务 ) 也 得 到 了 快速 地 发 展 。 然 而 随 着 电子 商务 的 飞速 发 展 也 相应 地 引发 出 
一 些 Internet 安全 问题 ,为 了 解决 这 些 安全 问题 ,世界 各 国 对 其 进行 了 多 年 的 研究 ,初步 
形成 了 一 套 完整 的 Internet 安全 解决 方案 , 即 当 前 被 广泛 采用 的 PKI 技术 (Public Key 
Infrastructure, 公 钥 基 础 设施 ) ,PKI( 公 钥 基 础 设施 ) 技 术 采 用 证 书 管理 公 钥 ,通过 第 三 方 
的 可 信任 机 构 一 一 认证 中 心 CA(Certificate Authority) ,把 用 户 的 公 钥 和 用 户 的 其 他 标 
识 信息 (如 名 称 、E-mail、 身 份 证 号 等 ) 捆 绑 在 一 起 ,在 Internet 网 上 验证 用 户 的 身份 。 当 
前 ,通用 的 办 法 是 采用 基于 PKI 结构 结合 数字 证 书 , 通 过 把 要 传输 的 数字 信息 进行 加 密 ， 
保证 信息 传输 的 保密 性 、 完 整 性 ,并 通过 签名 保证 身份 的 真实 性 和 抗 抵赖 性 。 


2. PKI 基本 组 成 


PKI(Public Key Infrastructure) 公 钥 基 础 设施 是 提供 公 钥 加 密 和 数字 签名 服务 的 系 
统 或 平台 ,目的 是 管理 密 钥 和 证 书 。 一 个 机 构 通过 采用 PKI 框架 管理 密 钥 和 证 书 可 以 建 
立 一 个 安全 的 网 络 环境 。 一 个 典型 ,完整 有效 的 PKI 应 用 系统 有 以 下 五 个 部 分 组 成 。 

(1) 认证 中 心 CA 

CA 是 PKI 的 核心 ,CA 负责 管理 PKI 结构 下 的 所 有 用 户 ( 包 括 各 种 应 用 程序 ) 的 证 
书 , 把 用 户 的 公 钥 和 用 户 的 其 他 信息 捆绑 在 一 起 ,在 网 上 验证 用 户 的 身份 ,CA 还 要 负责 
用 户 证 书 的 黑 名 单 登记 和 黑 名 单 发 布 。 后 面 有 CA 的 详细 描述 。 

(2) X. 500 目录 服务 器 

X. 500 目录 服务 器 用 于 发 布 用 户 的 证 书 和 黑 名 单 信息 ,用 户 可 通过 标准 的 LDAP 协 
议 查 询 自己 或 其 他 人 的 证 书 和 下 载 黑 名 单 信息 。 

G) 具有 高 强度 密码 算法 SSL 的 安全 WWW 服务 器 

Secure Socket Layer(SSL) 协 议 最 初 由 Netscape 企业 发 展 , 现 已 成 为 网 络 用 来 鉴别 
网 站 和 网 页 浏览 者 身份 ,以 及 在 浏览 器 使 用 者 及 网 页 服务 器 之 间 进 行 加 密 通 信 的 全 球 化 
标准 。 

(4) Web( 安 全 通信 平台 ) 

Web 有 Web Client 端 和 Web Server 端 两 部 分 ,分 别 安装 在 网 络 的 客户 端 和 服务 器 
端 ,通过 具有 高 强度 密码 算法 的 SSL 协议 可 以 保证 客户 端 和 服务 器 端 数据 的 机 密 性 、 完 
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整 性 、 身 份 验证 。 
(5) 自 开 发 安全 应 用 系统 
自 开发 安全 应 用 系统 是 指 各 行业 自 开 发 的 各 种 具体 应 用 系统 ,例如 银行 、 证 券 的 应 用 


64 m BH Zi 


任务 6-1 Windows 7 加 密 文件 系统 应 用 


1. EFS 的 应 用 


Windows 2000 以 上 、NTFS V5 版 本 格式 分 区 上 的 Windows 操作 系统 提供 了 一 个 叫 
作 Encrypting File System( 简 称 EFS) 加 密 文件 系统 的 新 功能 。EFS 加 密 是 基于 公 钥 策 
略 的 。 在 使 用 EFS 加 密 一 个 文件 或 文件 夹 时 ,系统 首先 会 生成 一 个 由 伪 随 机 数组 成 的 
FEK(File Encryption Key, 文 件 加 密 钥匙 ) ,然后 将 利用 FEK 和 数据 扩展 标准 X 算法 创 
建 加 密 后 的 文件 ,并 把 它 存 储 到 硬盘 上 ,同时 删除 未 加 密 的 原始 文件 。 随 后 系统 利用 用 户 
的 公 钥 加 密 FEK ,并 把 加 密 后 的 FEK 存储 在 同一 个 加 密 文件 中 。 而 在 访问 被 加 密 的 文 
件 时 ,系统 首先 利用 当前 用 户 的 私 钥 解 密 FEK ,然后 利用 FEK 解密 出 文件 。 在 首次 使 用 
EFS 时 ,如 果 用 户 还 没有 公 钥 / 私 钥 对 (统称 为 密 钥 ) , 则 会 首先 生成 密 钥 ,然后 加 密 数据 。 
如 果 用 户 登录 到 了 域 环境 中 , 密 钥 的 生成 依赖 于 域 控 制 器 ,否则 它 就 依赖 于 本 地 机 器 。 


2. EFS 的 设置 和 使 用 


在 Windows 7 下 对 文件 或 者 文件 夹 进行 EFS 加 密 很 简单 方法 如 下 。 

CD 选择 需要 加 密 的 文件 夹 或 文件 , 右 击 ,选择 “属性 ”命令 ,如 图 6-5 所 示 。 在 打开 
的 对 话 框 中 单 击 “ 高 级 ”按钮 ,进入 “高 级 属性 "对话 框 ,如 图 6-6 所 示 。 

(2) 选择 “加 密 内 容 以 便 保护 数据 ” 复 选 框 , 单 击 “ 确 认 ” 按 钮 即 可 ,如 图 6-7 所 示 。 加 
密 后 的 文件 夹 在 资源 管理 器 里 会 显示 为 浅 绿色 ,如 图 6-8 所 示 。 

(3) 此 时 Windows 7 自动 生成 了 一 个 对 应 账户 的 证 书 。 为 了 数据 的 安全 ,我 们 可 以 
导出 证 书 。 运 行 certmgr. msc, 调 出 证 书 管理 器 ,在 证 书 当 前 用 户 下 找到 生成 的 证 书 ,如 
图 6-9 所 示 。 

(4) 右 击 证 书 ,选择 “所 有 任务 ”命令 ,打开 “证 书 导出 向 导 ” 对 话 框 ,如 图 6-10 所 示 。 

G) 单 击 “ 下 一 步 ” 按 钮 ,如 图 6-11 所 示 , 显 示 “ 导 出 私 钥 ” 页 面 。 采 用 默认 设置 ,此 时 
证 书 只 能 以 个 人 信息 交换 的 方式 导出 , 单 击 * 下 一 步 ?按钮 ,然后 在 “密码 ”界面 中 输入 保护 
私 钥 密 码 ,如 图 6-12 所 示 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ,然后 指定 要 导出 的 文件 名 ,如 图 6-13 所 示 。 再 单 击 “下 一 
步 ” 按 钮 ,完成 证 书 导 出 ,如 图 6-14 所 示 。 
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MEXER 


HFW 
资源 管理 器 O 
命令 提示 符 


pe 中 作为 笔记 本 打开 位 置 C:\Documents and Settings Wwangchunhui VR i] 
Krnei X^ 0 字 节 
F QD 
SENIEBLE W AMSA: KP 
DEME MELK re^ D 包 合 0 个 文件 ,0 个 文件 夹 


i. Groove 文件 天 同步 
扫描 病毒 
发 送 到 中) 属性 HRED) 高 级 四 ) 


创建 时 间 : 。 2011 年 11 月 15 日 今天 ，12:58:06 


BRW 


Bum 
Sc 


创建 快捷 方式 CO 
mw 
Xeno 


属性 @B) 


图 6-5 快捷 菜单 


J Administrator 


MHs 
3 p aaa 
Da, MERAT 该 文件 夹 的 设置 。 
E. BSSEEM , Gaa T PE 
is) PPTV 视 频 ui Einternet Explorer 
naL ids b BRE @ UltraEdit 
口 可 以 存档 文件 夹 A Bus (B VMware Workstation 
回 为 了 块 速 搜索 ， 克 许 索引 服务 编制 该 文 件 夹 的 索引 CD m B MER 
[3 cs Ji snort 相关 工具 
压缩 或 加 密 属性 gnare jw 
口 压缩 内 容 以 便 节省 磁盘 空间 O dns IT T3 
[fog PELIS GARE Qi 着 信息 四 -T 
WERE 修改 日 期 : 2014/3/22 14:17 
D» Jj 
图 6-7 高 级 属性 的 设置 图 6-8 资源 管理 器 
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| 


| zee seu) sav am 
e% 20X0 mT 


Gy ES - 当前 用 户 p : 
447A 

cus 
» 国 委 信任 的 权证 书 硕 发 机 构 
> 国 企业 信任 
> D 中 航 证 书 大 发 机 构 
b 国 Active Directory 用 户 对 象 


[x 


图 6-10 证 书 导 出 向 导 


导出 私 钥 
您 可 以 选择 将 私 钥 和 证 书 一 起 导出 * 


ER 如 果 要 将 私 钼 跟 证 书 一 起 导出 ， 您 必须 在 后 面 一 页 上 键入 密 


图 6-11 “导出 私 钥 ? 对 话 框 
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密码 
要 保证 安全 ， 您 必须 用 密码 保护 私 钥 。 


输入 并 确认 密码 。 
ESO: 
99999999099 


输入 并 确认 密码 (S CO: 
99990900000 


(«E a R00 7) 


图 6-12 “密码 ”页 面 


要 导出 的 文件 
指定 要 导出 的 文件 名 。 


文件 名 中 


C:\Wsers\Admini strator \Desktop\Adainistrator. pfx 


6-13 设置 导出 文件 的 文件 名 


正在 完成 证 书 导出 向 导 


您 已 成 功 地 完成 证 书 导出 向 导 。 
您 已 指定 下 列 设置 


SEER 是 
数据 包括 下 书 路 径 中 所 有 证 书 E 
文件 格式 个 人 信息 交换 ff 


nd 


图 6-14 完成 证 书 的 导出 
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总 之 ,EFS 加 密 或 依赖 于 域 控制 器 或 依赖 于 本 地 用 户 账户 ,如 果 不 考虑 EFS 加 密 的 

强度 ,这 种 加 密 方式 如 果 采 用 脱 机 攻击 的 方式 ,破解 了 域 控制 器 或 者 本 地 对 应 的 用 户 账 

户 , 则 EFS 加 密 不 攻 自 破 。 不 过 对 于 大 多 数 用 户 来 说 ,EFS 加 密 是 一 种 操作 系统 带 来 的 
免费 加 密 方 式 , 可 以 应 对 大 部 分 的 非法 偷 完 或 者 复制 ,因此 是 一 种 不 错 的 安全 工具 。 


任务 6-2. PGP 加 密 系 统 演示 实验 


PGP(Pretty Good Privacy) 是 由 美国 的 Philip Zimmermann 创造 的 用 于 保护 电子 邮 
件 和 文件 传输 安全 的 技术 ,在 学 术 界 和 技术 界 都 得 到 了 广泛 的 应 用 。PGP 的 主要 特点 是 
使 用 单 向 散 列 算法 对 邮件 /文件 内 容 进行 签名 以 保证 邮件 /文件 内 容 的 完整 性 ,使 用 公 钥 
和 私 钥 技术 的 保证 邮件 /文件 内 容 的 机 密 性 和 不 可 否认 性 , 它 是 一 款 非常 好 的 适合 密码 技 
术 学 习 和 应 用 的 软件 。 


安装 PGP 软件 


(1) 首先 查看 所 给 的 软件 包 包 含 的 文件 内 容 。 图 6-15 为 一 般 的 PGP 软件 所 包含 的 
文件 ,我 们 运行 它 的 安装 文件 pgp. exe。 


PGP8. exe. sig 
- e mx eim = Jo Ter detached Sie 
wm KB 


O mepe [E ERR 注册 说 明 ht， 
Ax FREY. ee 三 | ERES | yd 


图 6-15 PGP 软件 包 


(2) 进入 安装 界面 ,选择 “No, Tm a New User” 选 项 , 青 输入 软件 安装 所 需 的 密 钥 
(key) ,如 图 6-16 所 示 。 


User Type 1 

Please tellus if you have existing PGP Keyrings you'd Ike to use. ps 
i 

d 


Do you already have PGP keyrings you would ike to use? 


< Back. Next> Cancel 
图 6-16 设置 PGP 用 户 类 型 
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(3) 单 击 “下 一 步 ” 按 钮 ,在 显示 的 图 6-17 中 选择 要 安装 的 PGP 组 件 。 青 单 击 “ 下 一 
步 ”, 安 装 软件 结束 ,重启 系统 ,如 图 6-18 所 示 。 


Select Components 
Choose the components Setup wil install 


Select the components you want to install, and clear the components you do not want to 
install 


p Description: 


CHE PGPmail for ICQ MEE sr s sol 
É] PGPmai for Microsoft Outlook. prom. 
fil PGPmai for Microsoft Outlook Express olina Socii; 

m PGPmail for Qualcomm Eudora. 

CI PGPmail for Groupwise 


Space Required on C: 12332K. 


Space Available on C: 2020696 K 
esum] | arcs] 


图 6-17 选择 PGP 组 件 


PGP 8.1 


PGP 8.1 install complete. 


PGP 8.1 has been successfully installed. mee i canuse 
the program, you must restart your compute 


TV. (es, I want to restart my computer now] 


图 6-18 ”安装 结束 


(4) 下 面 进行 汉化 软件 ,运行 *PGP 简体 中 文 版 (第 三 次 修正 ). exe” 的 软件 ,将 PGP 
进行 汉化 。 会 出 现 设 置 密码 的 界面 ,如 图 6-19 所 示 。 密 码 存储 在 “使 用 说 明 . txt” 文 件 
中 ,为 pgp. com. cn。 输 入 之 后 ,打开 安装 向 导 , 如 图 6-20 所 示 。 

(5) 一 直 确 认 ,然后 选择 安装 组 件 的 位 置 为 “完整 安装 ”, 并 完成 安装 。 

O 安装 完成 之 后 ,就 要 进行 信息 注册 。 右 击 任务 栏 中 PGP 的 锁 型 图 标 ,选择 “许可 
证 ”命令 ,如 图 6-21 所 示 。 在 PGP 许可 证 的 页 面 中 单 击 “ 更 改 许可 证 ”按钮 ,如 图 6-22 
所 示 。 

CD) 进入 *PGP 许可 证 授权 ”界面 后 ,展开 许可 证 的 输入 框 ,同时 打开 “使 用 说 明 ”, 将 
相应 的 内 容 填 人 注册 框 ,如 图 6-23 所 示 。 最 后 完成 安装 。 
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欢迎 使 用 pGP 8.1 简 体 中 文化 版 安装 向 导 


安装 向 导 格 要 在 您 的 计算 机 中 安装 PGP 8.1 简 体 中 文化 版 
(第 三 次 修正 ) 。 要 继续 ， 请 单 击 "下 一 步 … 


= 请 首先 确认 你 已 经 安装 了 pPGP6,1 英 文 原版 4 接 下 来 的 安 
Li eer: 装 中 ， 请 务必 仔细 阅读 许可 协议 ? 


如 果 你 是 第 一 次 使 用 PGP ， 请 访问 www,pgp,com,cn 下 载 
新 手指 南 他 细 阅 款 简 要 教学 。 


当前 窗口 @) 


memo | 


图 6-21 快捷 菜单 图 6-22 更 改 许可 证 


请 输入 你 的 名 称 , 姐 织 ,和 许可 证 号 码 ,. 按 "授权 " 控 望 自动 在 互联 网 上 授权 这 个 产品 
如 果 你 直接 收 到 了 来 自 客户 服务 代表 的 一 个 许可 证 授权 ,你 可 使 用 底部 的 "手动 " 按 
钮 手工 输入 它 ， 


许可 证 信息 
EN): [PGP Desktop 


38iX(Q): [POP Enterprise 


DII... 
ku ].[wes ] .am ]- an | -ee ]- [ene | 


正确 粘贴 许可 证 授权 在 下 面 的 输入 框 为 ; Lid due PGP LICENSE. 
UTHORIZATICN" S1 —-END PGP LICENSE AUTHORIZATK 


的 加 密 功 能 ， 强 度 高 达 4096 位 ， 
插件 对 应 的 软件 中 方便 的 使 用 


—BEGIN PGP LICENSE AUTHORIZATION- 


ADIPApAA HO Ta R2 IA oH ALSH 22 
—END PGP LICENSE AUTHORIZATION- 


POETA AECEBULR US 


l 
前 的 版 本 都 不 够 完善 ， 故 而 仅 作 
hE | 并 决定 对 外 发 XA. 


RU) 


xD J 


的 中 文 技术 支持 ， 欢 迎 大 家 访问 


User: PGP Desxtop 

Orgnization: PGP Enterprise 

License Numbe CUCDX-4YGY5-KRJV J- TBNGR-3R9UR-FMC. 
Licen: i 


图 6-23 注册 窗口 
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2. 生成 密 钥 对 


CD 打开 “开始 ”菜单 习 “ 程 序 ”>PGP 一 PGPkeys, 启 动 PGPkeys 主 界面 ,如 图 6-24 
所 示 。 单 击 “ 新 建 密 钥 对 ”工具 标签 ,在 PGP Key Generation Wizrad 提示 向 导 下 , 单 击 
“下 一 步 ” 按 钮 ,开始 创建 密 钥 对 。 


XED ZE 0) SHO 服务 器 G) RP WHW 


s».p»upotrE. 5B 


图 6-24 PGPkeys 主 界面 
(2) 输入 对 应 的 用 户 名 和 邮箱 地 址 ,如 图 6-25 所 示 。 


PGP Key Generation Wizard 


Name and Email 
Every key pair must have a name associated with it. The name and email address let 
your correspondents know that the public key they are using belongs to you. 


Earne: — [eis | 


By associating an email address with your key pair, you wil enable PGP to assist your 
correspondents in selecting the correct public key when. with you. 


Email address: 


CEFO 


图 6-25” 密 钥 注 册 


G) 输入 私 钥 的 保护 密码 ,如 图 6-26 所 示 。 注 意 密码 要 隐藏 输入 和 密码 的 长 度 。 
(4) 如 图 6-27 所 示 为 密 钥 对 的 生成 结果 。 


3. 用 PGP 加 密 和 解密 文件 


CD 使 用 记事 本 创建 “PGP 测试 文件 . xc ,文件 内 容 为 “这 个 文件 是 加 密 的 ”。 
(2) 如 图 6-28 所 示 , 单 击 “开始 ? 沫 单一 "程序 "一 PGP-~PGPmail, 再 在 工具 栏 中 单 击 
Encrypt/Sign 图 标 ( 左 起 第 4 个 ) ,如 图 6-29 所 示 。 
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P6P Be 


分 配 密码 
你 的 私 钥 梅 会 被 密码 保护 ,这 些 信息 很 重要 且 是 机 密 的 ,你 不 要 将 它 写 下 来 


你 的 密码 至 少 应 该 有 3 位 字符 长 度 ,并 包含 数字 和 字母 


ERAH 


6-26 ”分配 密码 


了 pePkeys 
XO SEO SEV VHO NS8G AMPUHO 帮助 0D 


».w»uyptrE 


E] 有 大 小 
E Ci kudrat Ckudrat20998163.com) © 2048/1024 — DN/DSS key pair 
Ei] kudrat rudrat20998163, com> 
Á ndirat Orndrat20998163. 1ss 


图 6-27 PGP 主 界面 


Windows Catalog 
^] Windows Update 
Qy dervamu 
一 程 加 Sniffer Pro 


e 附件 
B xeo a 游戏 


E ao " KE) Yanpserver 
P azo , 


Q sus oo 
££ ine 


(f) Documentation ， 
È Fcpdisk 

M PoPkeys 
jf] PGPnail 


注销 ERROU 
回 «emo 


图 6-28 打开 PGPmail 
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(3) 在 选择 文件 对 话 框 中 选择 最 初 建立 的 “PGP 测试 文件 . txt” 文 件 , 如 图 6-30 
Bra. 


选择 要 加 室 并 签名 的 文件 


jr 
Smam 
[ERE Microsoft Word 文档 doc 


S | 


文件 类 型 中。 | 所 有 文件 Go M 


W PG6Pnail 


图 6-29 PGPmail 界面 图 6-30 选择 文件 对 话 杠 


(4) 如 图 6-31 所 示 ,在 “PGPmail - 密 钥 选择 对话 框 中 选中 接收 者 的 密 钥 ,然后 双击 
选中 项 。 


i» P5Paail -€ DATE 
_ 从 用 户 列 表 扒 换 用 户 名 到 接收 和 列表 


Ca) Cun ] ms ] 


BRAME E) 


图 6-31 “PGPmail - 密 钥 选择 ?对 话 框 


(5) 在 图 6-32 中 要 求 输入 你 的 私 钥 密码 ,正确 输入 后 文件 被 转换 为 扩展 名 为 . pgp 的 
加 密 文件 。 并 弹出 如 图 6-33 对 话 框 ,要 求 重新 输入 密码 或 选择 不 同 的 密 钥 。 

(6) 单 击 “ 确 定 ” 按 钮 ,在 *PGP 测试 文件 . txt” 的 目录 下 会 出 现 一 个 新 的 加 密 文 件 ,名 
Jg" PGP 测试 文件 . txt. pgp”, 文 件 就 加 密 成 功 了 。 

CT) 解密 文件 时 , 先 双击 生成 的 加 密 文 件 “PGP 测试 文件 . txt. pgp”, 弹 出 如 图 6-34 
所 示 对 话 框 ,要 求 输入 解密 密码 。 输 入 正确 的 密码 后 ,就 可 以 解密 原来 的 文件 了 。 
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PGPaail — SAEI 


PGPmail - 输入 密码 
POP SAEI 


图 6-33 重新 输入 密码 对 话 框 图 6-34 输入 解密 密码 


4. 用 PGP 对 Outlook Express 邮件 进行 加 解密 操作 


(1) 打开 Outlook Express, 填 写 好 邮件 内 容 后 ,选择 Outlook. 工具 栏 菜单 中 的 PGP 
加 密 图 标 , 使 用 用 户 公 钥 加 密 邮 件 内 容 , 如 图 6-35 所 示 。 


wO REO EGO MAU 格式 @) ede 邮件 中 帮助 0D 
y 拼写 检查 G) r 
Ee X S 


发 送 m Er 请 求 阅读 回执 CD 
一 WEEKS Celi 
RHA kudrat2099@163.com 选择 收 件 人 QU. 


nk gam Ctrl+Shi ft4B 
主题 | 加 密 地 件 使 用 SWINE 加 密 E) 


宋体 


你 好 ! 
若 喜 你 解密 成 功 。 


使 用 PGP 加 密 此 信息 . 


图 6-35 Outlook Express 界面 
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(2) 对 生成 加 密 后 的 邮件 进行 发 送 , 如 图 6-36 所 示 。 


EE di 
XPO SEO FEV IAW 邮件 如 $200 


$9 9 o5 
答复 。 全 部 答复 。 €" 


RA: mud 
日 期 2014 年 3 月 24 日 22:15 


AREE mdrat20998163 com 
主 | br nd 


一 -一 8E6IN PGP MESSAGE-——— 
Version: PGP 8.1 


qANQRIDBwUMDG3e0WTfZpGOQB/gnf6SXwHPt5sYDAZ93xdgeBIStZtEInOF5sXv9 
hCya6PjBDEP3jEwMb+2GvFKWK/jj8RnteRINksaphBYIKU8j/dfuKugrRWsPdYsy 
ec0gUTcb5XbgQz3J4bxCHpqyoLzH2HXRCcd1Q/IKvCDgrpT1Ev05xzwGLeubeAq974 
GiBHp1SkKbeeussenXnm1YJjetAgr8ci3ywghFK+3IWxIQzrEQhKCys0Xkwnq9T7y 
GKh/UJOnyVzCzGeÜpuJKSxVCdBIKZ8ruAYPAGLBAV9X 3vBGo3nne58v]SScvrvho 
ZezwWllK akh1Bzn3vyyTkuvULtGBbNZ6dgQgkbItEQe a*ÜCS3CACGhHOGeJkF50yd. 
5; jRAF/ 1r ZTEgkOOLF9qt AvGbz/ CF t RASOVadz Zt Wdg6djs IEOnJ5jS19FKZo 
OfTY5G1UGABang6Pxl*qIEsqseSEN/qCeSOUInTZ2Q8PEG/YvyOnJUr/ AvTOX2yR. 
L*LswYIStRaS4GYdpXEGsUDpavcGUT4Xb DurvFMZSrWc/ qdFXgAt TSdxeWJuNÜh 
ndx1XdNwÜon8NbDkeSqDGezSvDKGVDk aAyHoBonfC1DnlqkUr6s jTSCBWTEqNls 
bhulaNBbRdDvoxmcJPoCyHCvDM]tx3YyGXiBTlvxwwYAek710hR4UJQSXSgebjz7 
HNKVPRHcO1 IDN;juEI jUXckSET9Pwg ZEUhospgVeyt VIHPvAKpunShruvInUkeRav 
+/bt/t1pBIIJ8JujEjJe0zYTHCeZoanur8rvpIYDxQXda6T¥3Q/bNcpu 

=0KI4 

-----END PGP MESSAGE-—-- 


图 6-36 ”加密 邮 件 
(3) 对 方 收 到 邮件 后 打开 ,如 图 6-37 所 示 。 


己 (64 封 未 读 ) 网 易 邮箱 5- 0 版 - Hicrosoft Internet Explorer 
XAO MEV FFV KRW IAV WHU 


Qs-O (6 s ye6d0 Sm 1.63 


AB] http://cwebmail. mail. 163. con/ j5/nain. jsp?si d- RDOcIAReXZAbHGoRxcewezaAXuVbUKP® 


1637222% kudrat2099®163.com ~ em |AB| 帮助 + PM 


mail 163.com 
首页 通讯 录 ERIS" 收 件 箱 加 密 邮件 
ELIEN 复 | ares] -|s*x -][ssm | 学 报 | menr | sam] 
«teli (64) x£| 


AIR m BE) 


mtt (5) l kudratz2099<kudrat2099@163 com> 
已 发 送 8 15 ( 星 划一 ) 
HASTER 

邮件 标签 


—BEGIN PGP MESSAGE— 
邮箱 中 心 | Version: PGP 81 
文件 中 心 


qANOR1DBwU4DG3e0W7fzpG0QB/9n6SxvHPt5sYDAZ98x4geBIBtZiEMnOF5sX 
hcya6PiHOEPBjEwMb+2GvFkWKiBRmteRINksaphBVMKUBj4fuKuWrRWsP4Ysy 
c0gUTeb5XbgQz3J4bxCHpqwoLzH2HXCc41QHKYCDgrp71Ev05xzwGLeubeAq974 


GiBHplSkKbeeussemXmlYJjetAgrBciaywghFK+3IWxlOzrEOhKCys0Xkwnq9T7Y 
6KhUJOmyYzCzGe0pwJKBxYCdBIKZBruAYP4GLBAY9XSvB6c3mne5BwJS5cwho 
o 2ezwWMKakhiBzn3wyyJkuvUtGBbN76dgQgk5HEOea+UCS3CACGh+O6eJkF50yd 


图 6-37 ” 收 到 邮件 
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(4) 选中 加 密 邮 件 , 并 复制 邮件 内 容 , 在 “开始 "菜单 中 打开 PGPmail, 在 PGPmail 中 

选择 “解密 / 校 验 "图标 ,如 图 6-38 所 示 。 在 弹出 的 对 话 框 中 选择 剪贴 板 , 将 要 解密 的 邮件 
内 容 复 制 到 剪贴 板 中 ,如 图 6-39 所 示 。 


选择 文件 (s) to Decrypt/Verify 


(Qam 4| O 2 oem 


SENET 
加 zcriiz 文 件 txt pep 


W Pcpaail DER 


* 23 FY 53 B * i [pe 文件 (peo, + asc, tsi ^ E: 


图 6-38 PGPmail 工具 栏 图 6-39 选择 文件 进行 解密 / 校 验 


(5) 输入 用 户 保 护 私 钥 口令 后 ,邮件 被 解密 并 还 原 , 如 图 6-40 所 示 。 


Ane gue) [cm [nx | masi] wx- | sn | =n | vens  sum-| mee [BE 


zamog ) (C ezo ] 


EE rr FE 


图 6-40 邮件 被 解密 并 还 原 


任务 6-3 Windows Server 2008 证 书 服务 的 安装 


实验 内 容 为 在 CA 服务 器 上 安装 CA 证 书 服务 ,在 Web 服务 器 生成 Web 证 书 申请 ， 
通过 IE 浏览 器 提交 证 书 申 请 ,证 书 申请 批准 后 下 载 Web 服务 器 证 书 , 为 Web 服务 器 安 
装 证 书 并 配置 SSL, 使 用 HTTPS 协议 访问 网 站 来 验证 结果 。 
说 明 : 本 实验 在 Windows Server 2008 组 成 的 一 个 局 域 网 环境 下 完成 。 
搭建 证 书 服务 器 的 步 又 如 下 。 
(D 登录 Windows Server 2008 服务 器 。 
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(2) 打开 “服务 器 管理 器 "窗口 ,如 图 6-41 所 示 。 


IRD Wo) 


ED 


E RÜTRLEDBSIABNES. UESRINIABKR- 


EL. B nene 
DAB: BER ATN b tae 
D me 一 
imr Bimer en 
ARTATI ENEA. 
aers BR ery 


而 各 秀全 部 正 在 运 全 
DER MEN AHA è MEER 


(3) 单 击 “ 添 


6-41 “服务 器 管理 器 ”窗口 


加 角色 ”, 打 开 “ 添 加 角色 向 导 ”, 如 图 6-42 所 示 , 然 后 单 击 “ 下 一 步 ” 按 钮 。 


(4) 如 图 6-4 
ss. 

(5) 如 图 6-4 

(6) 如 图 6-4 

(7) 如 图 6-4 
直接 默认 为 :“ 独 

(8) 如 图 6-4 

(9) 如 图 6-4 
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T WuWNSTHNHHA c) 


F222 FROY Lr] 


图 6-42 添加 角色 向 导 


3 所 示 , 找 到 “Active Directory 证 书 服务 ”并 选择 此 选项 ,然后 单 击 “ 下 一 


4 所 示 , 进 入 证 书 服务 简介 界面 , 单 击 “ 下 一 步 ” 按 钮 。 
5 所 示 , 将 证 书 颁发 机 构 ,证 书 颁发 机 构 Web 注册 选择 上 ,然后 单 击 “ 下 


6 所 示 ,选择 “独立 ”选项 , 单 击 “ 下 一 步 ? 按 钮 (由 于 不 在 域 管理 中 创建 ， 
AE"). 


7 所 示 , 首 次 创建 ,选择 “ 根 CA”, 然 后 单 击 “ 下 一 步 ” 按 钮 。 
8 所 示 , 首 次 创建 选择 “新 建 私 钥 ”, 然 后 单 击 “下 一 步 ”按钮 。 


| 


L Active Directory Rights Banagenent Services 
ory 联合 | 


图 6-43 选择 服务 器 角色 


图 6-44 添加 角色 向 导 
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6-46 ”指定 安装 类 型 
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图 6-47 指定 CA 类 型 


648 ”设置 私 钥 


(10) 如 图 6-49 所 示 ,默认 情况 下 继续 单 击 “ 下 一 步 ” 按 钮 。 
(11) 如 图 6-50 所 示 ,默认 继续 单 击 “ 下 一 步 ” 按 钮 。 
(2) 如 图 6-51 所 示 ,默认 继续 单 击 “ 下 一 步 "按钮 。 
(13) 如 图 6-52 所 示 ,默认 继续 单 击 * 下 一 步 " 按 钮 。 
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[isticroso softwars Eap Storage Prov: der RNC 


6-49 为 CA 配置 加 密 


6-50 配置 CA 名 称 
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6-52 配置 证 书 数据 库 


(14) 如 图 6-53 所 示 , 单 击 “安装 ?按钮 。 
(15) 如 图 6-54 所 示 , 单 击 “关闭 ?按钮 ,关闭 证 书 服务 器 , 则 安装 完成 。 
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@ FERME 可 能 兰 要 重新 启 起 服务 器 。 
(S Active Directory EBES 
证 书信 发 机 构 
全 TE 
Ee 


JSMlli crosoft Software Key Storage Provider 
hal 


2048 
esum 

2019/9/15 11:13 
CN-SERVER2008R2-CA. 


C: Windows systenS2 Cer Log. 
C: Windows Vsysten32 Cer Log. 


图 6-53 ”确认 安装 选择 


6-54 安装 结果 


任务 6-4 Windows Server 2008 使 用 IIS 配置 Web 服务 器 上 
的 证 书 


Windows Server 2008 使 用 IIS 配置 Web 服务 器 上 证 书 的 应 用 用 于 提高 Web 站 点 
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的 安全 访问 级 别 。 配 置 后 应 用 站 点 可 实现 安全 的 服务 器 至 客户 端的 信道 访问 ;此 信道 将 
拥有 基于 SSL 证 书 加 密 的 HTTP 安全 通道 ,保证 双方 通信 数据 的 完整 性 ,使 客户 端 至 服 
务 器 端的 访问 更 加 安全 。 

以 证 书 服务 器 创建 的 Web 站 点 为 示例 ,搭建 Web 服务 器 端 SSL 证 书 的 应 用 步骤 如 下 。 


6-55 ”信息 服务 (1IS) 管 理 器 
(2) 单 击 “ 服 务 器 证 书 ”, 在 窗口 右 侧 找到 “创建 证 书 申请 ”项 ,如 图 6-56 所 示 。 


be | 服务 器 证 书 
PRENOSE 1a MARTRET sa NPBA 


SEEYER2008H2-CA 2019/3/15 17:28:27 99100 


6-56 ”信息 服务 (IIS) 管 理 器 
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(3) 单 击 “ 创 建 证 书 申请 ”, 如 图 6-57 所 示 , 打 开 “ 申 请 证 书 ” 对 话 框 ,填写 相关 文本 框 
的 内 容 , 填 写 中 需要 注意 的 是 :“ 通 用 名 称 ” 必 须 填写 本 机 IP 或 域名 ,其 他 项 则 可 以 自行 
填写 。 实际 TP 地 址 需 根据 每 人 主机 IP 自行 填写 ;填写 完 后 , 单 击 “ 下 一 步 ” 按 钮 。 


可 分 状 名 称 属性 


图 6-57 申请 证 书 (1) 


(4) 如 图 6-58 所 示 ,采用 默认 文件 名 , 单 击 “ 下 一 步 ?按钮 。 


6-58 申请 证 书 (2) 


(5) 如 图 6-59 所 示 ,选择 并 填写 需要 生成 文件 的 保存 路 径 与 文件 名 , 此 文件 后 期 将 会 被 
使 用 (保存 位 置 .文件 名 可 以 自行 设 定 ) ,然后 单 击 “ 完 成 "按钮 ,此 配置 完成 后 ,界面 会 关闭 。 
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Wiser s Wdnini strator \Docusent 1 SERVERZOOGRZ. Urt [ 


AINSI TURCA FEE HRNCE R, GITHI ， 喧 征 书 月 销 列 表 ICRH | SCORE IS ACOUUS. 
有 关 Active Directory WEBRSS | WR Active Directory KENAR cs. 


6-60 主机 的 证 书 服务 


(7) 此 时 会 出 现 证 书 服务 页 面 ,如 果 单 击 “ 申 请 证 书 ”, 在 下 一 界面 中 单 击 “ 高 级 证 书 
申请 ” ,接着 单 击 “ 创 建 并 向 此 CA 提交 一 个 申请 ”, 下 一 界面 接着 会 弹出 一 个 提示 窗口 ,如 
图 6-61 所 示 , 也 就 是 必须 配置 为 HTTPS 网 站 ,才能 正常 访问 当前 网 页 及 功能 。 

注意 : 在 与 本 部 分 相关 的 术语 解释 如 下 。 

HTTPS(Hypertext Transfer Protocol over Secure Socket Layer), 是 以 安全 为 目标 
的 HTTP 通道 ,简单 讲 是 HTTP 的 安全 版 。 即 HTTP 下 加 入 SSL 层 ,HTTPS 的 安全 
基础 是 SSL, 因 此 加 密 的 详细 内 容 就 需要 SSL。 它 是 一 个 URI scheme( 抽 象 标识 符 体 
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ME 


À 加 Pi， 必须 将 该 CA BEBE OS ERRI HTTPS 


DL» ] 


客户 满 身份 验证 证 书 T 


C BEER 。 C 使 用 现存 的 密 角 集 
中 正在 加 载 … wj 


COCO F8 Re [7 Silius T HRS. HA 
图 6-61 高 级 证 书 申请 


A) ,语法 类 似 “http:?” 体 系 , 用 于 安全 的 HTTP 数据 传输 。“https:URL” 表 明 它 使 用 了 
HTTP, 但 HTTPS 有 不 同 于 HTTP 的 默认 端口 及 一 个 加 密 / 身 份 验证 层 ( 在 HTTP 与 
TCP 之 间 )。 这 个 系统 的 最 初 研发 由 网 景 公司 负责 ,提供 了 身份 验证 与 加 密 通 信 方 法 , 现 
在 它 被 广泛 用 于 万 维 网 上 安全 敏感 的 通信 ,例如 交易 支付 方面 。 

SSL(Secure Sockets Layer. 安全 套 接 层 ) 及 其 继任 者 TLS (Transport Layer 
Security, 传 输 层 安全 ) 是 为 网 络 通信 提供 安全 及 数据 完整 性 的 一 种 安全 协议 。TLS 与 
SSL 在 传输 层 对 网 络 连接 进行 加 密 。 

(8) 下 面 需要 搭建 一 个 HTTPS 网 站 , 即 搭建 Web 服务 器 的 SSL 应 用 。 

那么 如 何 搭建 HTTPS 网 站 ? 现在 证 书 服务 已 搭建 ,用 于 创建 SSL 的 加 密 服务 。 使 
用 证 书 服务 器 的 Web 网 站 时 ,会 提示 需要 将 证 书 Web 站 点 配置 为 HTTPS 网 站 才能 正 
常 使 用 。 

我 们 继续 以 证 书 服务 器 的 搭建 为 示例 ,完成 Web 服务 器 的 SSL 应 用 搭建 。 

(9) 由 于 搭建 HTTPS 需要 先 申请 证 书 , 但 现在 证 书 服务 网 站 也 需要 配置 为 HTTPS 
才能 正常 使 用 ,在 证 书 网 站 还 未 配置 为 HTTPS 服务 前 我 们 用 如 下 方法 申请 证 书 。 如 
图 6-62 所 示 ,打开 正 (浏览 器 ) , 单 击 * 工 具 ” 按 钮 并 从 下 拉 菜 单 中 选择 它 下 面 的 “Internet 
选项 ”。 

(10) 打开 的 对 话 框 如 图 6-63 所 示 , 单 击 “ 安 全 ”选项 卡 ,再 单 击 “ 可 信 站 点 ”。 

(11) 打开 的 对 话 框 如 图 6-64 所 示 , 输 入 之 前 的 证 书 网 站 地 址 : http://192. 168. 1. 
104/certsrv, 并 将 其 添加 到 信任 站 点 中 。 添 加 完 后 , 单 击 “ 关 闭 ” 按 钮 ,关闭 该 对 话 框 。 
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SH 中 文 网 : 时 肖 生 活 白领 门户 。 (SI 官方 下 载 ) -Winders Int 


sR) | | 


MSN 点 面 主题 下 载 。]E11 官 方 下 载 


网 页 | EH | 视频 | 资讯 | 地 图 | 影响 力 


| 李克强 下 基层 收 过 的 礼 


EMBABSE (GEESXDDHRÉRP ASRAFI OSiR] 


资讯 军事 娱乐 体育 汽车 WEE 汽车 大 全 文娱 电影 明星 时 尚 STER DUM 
理财 银行 博览 深度 房产 新 房 RESH 历史 财富 影响 力 4A BUE 办 公 室 
保险 基金 RS 商业 数码 科技 Wing App 图 汇 潮流 生活 mum em us 


学 英语 没有 时 间 ? 
订阅 《每 日 英语 》 每 天 5 分 钙 ， 搞 定 荧 语 


6-63 Internet 选项 图 6-64 可 信 站 点 


(12) 接 下 来 ,继续 在 “安全 ”对 话 框 中 单 击 “ 自 定义 级 别 ” 按 钮 ,此 时 会 弹出 一 个 “安全 
设置 ”对话 框 ,如 图 6-65 所 示 。 在 安全 设置 界面 中 拖 动 右 别 的 滚动 条 ,找到 “对 未 标记 为 
可 安全 执行 脚本 的 ActiveX 控件 初始 化 并 执行 脚本 ”选项 ,选择 “启用 ”选项 ;之 后 单 击 各 
个 界面 的 “确定 ”按钮 ,直到 “Internet 选项 ”对 话 框 关 闭 为 止 。 

(13) 完成 上 面 的 操作 后 , 先 将 IE 关闭 .然后 重新 打开 它 , 输 入 http://192. 168. 1. 
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O ER 
Dn 到 人行 有 的 Liver ATUS” 
© BR ni 
O 提示 
il) tie iiv 控件 初始 化 并 执 


使 用 此 网 站 为 您 的 Web 浏览 器 、 电 子 邮件 客户 端 或 其 他 程序 申请 证 书 。 通 过 使 用 证 书 ， 您 可 以 向 通过 
Web 进行 通信 的 用 户 确认 您 的 身份 、 签 名 并 加 密 邮 件 ， 并 根据 您 申请 的 证 书 类 型 执行 其 他 安全 任务 。 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁发 机 构 (CA) 证 书 、 证 书 链 ,或 证 书 书 销 列表 (CRL) ,或 者 查看 挂 起 申请 的 状 
p 


有 关 Active Directory 证 书 服务 的 详细 信息 ， 请 参阅 Active Directory 证 书 服务 文档 
选择 一 个 任务 : 


查看 持 起 的 证 书 由 请 的 状态 
INE 


图 6-66 选择 任务 


(14) 如 图 6-67 所 示 , 单 击 “高 级 证 书 申请 ?下 的 第 一 个 选项 。 
(15) 如 图 6-68 所 示 , 单 击 “ 使 用 base64 编码 的 CMC 或 PKCS & 10 文件 提交 一 个 证 
书 申请 ,或 使 用 Base64 编码 的 PKCS #7 文件 续 订 证 书 申请 ” 超 链接 。 
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6-67 ”高 级 证 书 申请 


El http//192.168.1.104/certsv/certrqad.asp $0-8o6xLN NE 
HD RAD SEV HERA IAD HHH | 


高 级 证 书 申请 


CA 的 策略 决定 您 可 以 申请 的 证 书 类 别 。 单 击 下 列 选项 之 一 来 : 


mn base64 pra CMC 或 PKCS #10 文件 提交 一 个 证 书 申请 ， 或 使 用 base64 编码 的 PKCS #7 3r 
件 续 订 证 书 申请 。 


图 6-68 证 书 服务 


(16) 如 图 6-69 所 示 ,将 之 前 保存 的 密 钥 文档 文件 找到 并 打开 ,将 里 面 的 文本 信息 复 


制 并 粘贴 到 “Base-64 编码 的 证 书 申请 ”文本 框 中 。 确 定 文本 内 容 无 误 后 , 单 击 “ 提 交 ” 
按钮 。 


(17) 如 图 6-70 所 示 , 此 时 可 以 看 到 ,申请 已 经 提交 给 证 书 服务 器 ,然后 关闭 当前 的 IE. 
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SP RAO SEV GERA) IAM WR) 


提交 一 个 证 书 申请 或 续 订 申 请 


要 提交 一 个 保存 的 申请 到 CA, 在 “保存 的 申请 ” 框 中 灶 贴 一 个 由 外 部 源 ( 如 Web 服务 器 ) 生 成 的 base-64 
编码 的 CMC 或 PKCS #10 证 书 申请 或 PKCS #7 疆 订 申请 . 


保存 的 申请 : 


BEGIN NEW CERTIFICATE REQUEST----- B 

Base_64 UEM) MIIDXCCAscCAQAWaTEIMAKGAIUEBRMCQO4xETAPE] 

证 书 申请 DwYDVQQHDAhSdWx1bXVxaTENMAsGAlUECgwEeHhh 

(CMC MBQGA1UEAwwNMTkyLjE20C4xLjEwNDCBnzANBgkq 

PKCS 810 或 GYEAsSBPziZA9tT6nR7jOYHOLCCIgTcb4ECONViOU 

PECS 80 7OXUSEfwI/2tGBjBhZmMN9JJdJ1153JCVumDhOf« = 
` m 


附加 属性 : 


Rit: 


您 的 证 书 申请 已 经 收 到 。 但 是 ， 您 必须 等 待 管理 员 颁 发 您 申请 的 证 书 。 
您 的 申请 ID 为 3。 

请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 

注意 : 您 必须 用 此 Web 浏览 器 在 10 天 内 返回 才能 检索 您 的 证 书 


6-70 查看 提交 的 信息 


(18) 打开 证 书 服务 器 ,处 理 用 户 刚 才 提 交 的 证 书 申请 ,返回 到 Windows 桌面 , 单 击 “ 开 
始 ”>“ 运 行 ” 命 令 ,在 “运行 "对话 框 中 输入 certsrv. msc, 然 后 按 Enter 键 ,就 会 打开 证 书 服务 
功能 界面 ,如 图 6-71 所 示 ,找到 * 挂 起 的 申请 ?选项 ,可 以 看 到 之 前 提交 的 证 书 申请 。 

(19) 如 图 6-72 所 示 , 右 击 后 会 出 现 所 有 任务 界面 , 单 击 * 所 有 任务 ”>“ 颁 发 ”命令 ， 
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文件 四 ”操作 由” 查看 中 ”帮助 0 
FARE] 


图 6-71 证 书 颁 发 机 构 

上 证 书 祷 发 机 构 林地 
E gj SERYER2008R2-CA 
7 吊 消 的 证 书 


图 6-72 挂 起 的 申请 


(20) 如 图 6-73 所 示 , 单 击 * 颁 发 的 证 书 ”, 可 以 看 到 已 审批 通过 的 证 书 。 其 他 操作 
(吊销 的 证 书 、 失 败 的 申请 ) 不 再 讲述 ,大 家 可 以 自己 试用 。 


v ERRI Kh) \SERVER2008R2-CA\ REAR] 


TERRENA CERO 

i SERVER2OOSR2-CA 
习 mies 
—3 RRRBSIESS 
国 fion 
EEUU 


图 6-73 ”颁发 的 证 书 


(21) 重新 打开 IE, 输 入 之 前 的 网 址 http://192. 168. 1. 203/certsrv/。 打 开 页 面 后 ， 
可 单 击 “ 查 看 挂 起 的 证 书 申 请 的 状态 ”, 之 后 会 进入 “查看 挂 起 的 证 书 申请 的 状态 "页面 ,如 
图 6-74 所 示 , 单 击 “ 保 存 的 申请 证 书 ”。 

(22) 如 图 6-75 所 示 ,进入 新 页 面 后 ,选择 Base 64 编码 ,然后 单 击 “ 下 载 证 书 ” 超 链 
接 , 将 已 申请 成 功 的 证 书 保存 到 指定 位 置 ,以 便 后 续 使 用 。 

(23) 打开 IIS 服务 器 , 单 击 “ 服 务 器 证 书 ”>“ 完 成 证 书 申请 ”, 选 择 刚 保存 的 证 书 , 然 
后 在 “好 记名 称 ” 文 本 框 中 输入 自 定义 的 名 称 , 再 单 击 “ 确 定 ” 按 钮 ,如 图 6-76 所 示 。 
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E SM Gi http://192.168.1.104/certsrv/certfnsh.asp B22cx 
| E Microsof re prom x il] 1 


| «5 sao mav (xe) IAM wem à 


| isem 


您 申请 的 证 书 已 颁发 给 您 


ODER 编码 或 e Base 64 编码 


ez 服务 器 证 书 


teb 服务 器 可 以 对 


完成 证 书 申请 


:MisersMAdnini strator \Downloads\cer tnew. cer 


186 6-76 指定 证 书 颁发 机 构 响 应 
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(24) 上 述 操 作 完 后 ,可 在 “服务 器 证 书 ” 界 面 下 看 到 “测试 证 书 ”, 如 图 6-77 所 示 。 


Inter Tr 


a 93 服务 器 证 书 


unice Yes 服务 器 可 以 对 配置 了 SSL 的 网 站 使 用 的 证 


a) 网 站 
B Default feb Site 


图 6-77 服务 器 证 书 


(25) 单 击 左边 的 Default Web Site 节点 ,然后 找到 * 绑 定 ? 功 能 并 单 击 , 会 弹出 “网 站 
绑 定 ”界面 ,默认 会 出 现 一 个 类 型 为 http 、 端 口 为 80 的 主机 服务 ,然后 单 击 * 添 加 ”, 会 弹出 
“添加 网 站 绑 定 ”界面 ,在 此 界面 中 选择 “类 型 : https”“SSL WEB: JZT_TEST1”, 然 后 点 
“确定 ”。 点 完 确定 后 ,会 看 到 “网 站 绑 定 ? 子 界 面 中 有 刚 配 的 HTTPS 服务 , 单 击 “ 关 闭 ” 子 
界面 消失 ,如 图 6-78 所 示 。 


@ » suwvER2O0082 ， 网 站 » Default Feb Site » 


@ Default Web Site 主页 
d| iame: cia EB: 


EMARE 


O hs | 


6-78 ”网 站 绑 定 


(26) 如 图 6-79 所 示 , 单 击 左 菜单 上 的 CertSrv 证 书 服务 网 站 ,然后 单 击 “SSL VERE". 
(27) 进入 SSL 设置 页 面 ,选择 上 “要 求 SSL” 即 启用 SSL 功能 ,然后 单 击 “应 用 ”, 保 
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TE E CertSrv 主页 
ENS x J | iR. cos LI NN - 
"Es [e 
^ ES E 
Paar o£ m. 3 
EA ast Amr ges mro 重 定向 ux 关 型 EHE 
a dd lè 
Aega WTO Geo MB BENS 
à B è 8 
BS SHUE ANEIR sier — Ea 
Eorna 


q| 您 可 以 在 此 页 上 修改 网 站 或 应 用 程序 内 容 的 SSL 设置 。 
V ER SLO 

D RE 12 位 sew 
SPUR 

e RU 


网 站 
E Default Web Site 
ertEnroll 


C SEQ 
Camo 


a 


图 6-80 SSL 设置 (2) 


(28) 此 时 一 个 基于 SSL 应 用 的 Web 服务 器 站 点 已 配置 完成 ;让 我 们 用 IE iX F SSL 
的 应 用 。 

首先 ,将 我 们 之 前 为 了 申请 证 书 而 开放 的 “可 信 站 点 ”的 设置 还 原 ; 在 IE 的 “可 信 站 
点 ”的 “ 自 定 义 级 别 ? 选 项 中 * 对 未 标记 为 可 安全 执行 脚本 的 ActiveX 控件 初始 化 并 执行 脚 
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本 ”选项 ,由 “启用 ” 改 为 “禁用 ” 即 可 。 然 后 关闭 IE, 再 重新 打开 并 输入 : https://192. 
168. 1. 104, 此 时 会 出 现 :“IIS7” 字 样 的 页 面 ,如 图 6-81 所 示 。 如 果 出 现 此 页 面 , 恭 喜 你 
SSL 配置 已 成 功 ! 反之 则 有 问题 ,从 上 到 下 把 操作 说 明和 自己 的 操作 过 程 比 对 检查 看 是 
否 正确 。 


65 zJ 题 
一 、 填空 题 
1. 密码 按 密 钥 方 式 划分 ,可 分 为 式 密码 和 式 密码 。 
2. DES 加 密 算法 主要 采用 和 的 方法 加 密 。 
3. 非 对 称 密码 技术 也 称 为 密码 技术 。 
4. DES 算法 的 密 钥 为 位 ,实际 加 密 时 仅 用 到 其 中 的 位 。 
5. 数字 签名 技术 实现 的 基础 是 TOR. 
二 、 选 择 题 


1. 所 谓 加 密 是 指 将 一 个 信息 经 过 ( ) 及 加 密 函 数 转换 , 变 成 无 意义 的 密 文 ,而 接 
受 方 则 将 此 密 文 经 过 解密 函数 及 ( 。 ”) 还 原 成 明文 。 
A. 加 密 钥 匙 、 解 密 钥 匙 D. 解密 钥匙 、 解 密 钥 匙 
C. 加 密 钥 匙 、 加 密 钥匙 D. 解密 钥匙 、 加 密 钥匙 
2. 以 下 关于 对 称 密 钥 加 密 说 法 正确 的 是 ( e 
189 


网 络 安全 实用 项 目 教程 


A. 加 密 方 和 解密 方 可 以 使 用 不 同 的 算法 
D. 加 密 密 钥 和 解密 密 钥 可 以 是 不 同 的 
C. 加 密 密 钥 和 解密 密 钥 必须 是 相同 的 
D. 密 钥 的 管理 非常 简单 
3. 以 下 关于 非 对 称 密 钥 加 密 说 法 正确 的 是 ( J 
A. 加 密 方 和 解密 方 使 用 的 是 不 同 的 算法 
D. 加 密 密 钥 和 解密 密 钥 是 不 同 的 
C. 加 密 密 钥 和 解密 密 钥 是 相同 的 
D. 加 密 密 钥 和 解密 密 钥 没有 任何 关系 
4. 以 下 算法 中 属于 非 对 称 算法 的 是 ( js 


A. DES B. RSA 算法 C. IDEA D. 三 重 DES 
5. CA 指 的 是 (  )。 

A. 证 书 授权 B. 加 密 认证 

C. 虚拟 专用 网 D. 安全 套 接 层 


6. 以 下 关于 数字 签名 说 法 正确 的 是 ( m 
A. 数字 签名 是 在 所 传输 的 数据 后 附加 上 一 段 和 传输 数据 毫 无 关系 的 数字 信息 
D. 数字 签名 能 够 解决 数据 的 加 密 传输 , 即 安全 传输 问题 
C. 数字 签名 一 般 采 用 对 称 加 密 机 制 
D. 数字 签名 能 够 解决 自 改 、 伪 造 等 安全 性 问题 
7. 以 下 关于 CA 认证 中 心 说 法 正确 的 是 ( ^». 
A. CA 认证 是 使 用 对 称 密 钥 机 制 的 认证 方法 
B. CA 认证 中 心 只 负责 签名 ,不 负责 证 书 的 产生 
C. CA 认证 中 心 负责 证 书 的 颁发 和 管理 ,并 依靠 证 书证 明 一 个 用 户 的 身份 
D. CA 认证 中 心 不 用 保持 中 立 , 可 以 随便 找 一 个 用 户 来 作为 CA 认证 中 心 
8. 关于 CA 和 数字 证 书 的 关系 ,以 下 说 法 不 正确 的 是 ( Xs 
A. 数字 证 书 是 保证 双方 之 间 的 通信 安全 的 电子 信任 关系 , 它 由 CA 签发 
B. 数字 证 书 一 般 依靠 CA 中 心 的 对 称 密 钥 机 制 来 实现 
C. 在 电子 交易 中 ,数字 证 书 可 以 用 于 表明 参与 方 的 身份 
D. 数字 证 书 能 以 一 种 不 能 被 假冒 的 方式 证 明证 书 持 有 人 身份 


三 、 简 答题 


1. 凯撒 (Caesar) 密 码 是 一 种 基于 字符 蔡 换 的 对 称 式 加 密 方 法 , 它 是 通过 对 26 个 英 
文字 母 循环 移 位 和 蔡 换 来 进行 编码 的 。 设 待 加 密 的 消息 为 UNIVERSITY , 密 钥 上 为 5， 
试 给 出 加 密 后 的 密 文 。 

2. 明文 为 : We will graduate from the university after four years hard study( 不 考虑 
空格 ) 。 试 采用 传统 的 古典 密码 体系 中 的 凯撒 密码 (& 一 3) , 写 出 密 文 。 

3. 简 述 对 称 密 钥 密码 和 非 对 称 密 钥 密码 体制 及 其 特点 。 

4. PGP 软件 的 功能 是 什么 ”可 应 用 在 什么 场合 ? 

5. 简 述 数字 签名 的 功能 。 
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71 项 目 导 入 


确保 网 络 系统 稳定 正常 运行 是 网 络 管理 员 的 首要 工作 ,往往 很 多 用 户 认为 网 络 系统 
可 以 正常 运行 就 万 事 大 吉 ,其 实 很 多 网 络 故障 的 发 生 正 是 由 于 平时 的 忽视 所 致 。 为 了 能 
够 让 网 络 稳定 正常 地 运行 ,就 需要 经 常 对 网 络 操作 系统 进行 监测 和 维护 ,让 操作 系统 始终 
处 于 最 佳 工作 状态 。 网 络 操作 系统 监测 与 性 能 优化 是 保证 网 络 安全 的 基础 。 


72 项 目 分 析 


操作 系统 安全 是 指 计算 机 信息 系统 在 自主 访问 控制 ,强制 访问 控制 .标记 、 身 份 鉴 别 、 
客体 重用 、 审 计 、 数 据 完整 性 、 隐 项 信道 分 析 ` 可 信 路 径 . 可 信 恢 复 等 十 个 方面 满足 相应 的 
安全 技术 要 求 。 

操作 系统 安全 主要 特征 有 以 下 方面 。 

(1) 最 小 特权 原则 , 即 每 个 特权 用 户 只 拥有 能 进行 自己 工作 的 权利 。 

(2) 自主 访问 控制 ;强制 访问 控制 ,包括 保密 性 访问 控制 和 完整 性 访问 控制 。 

(3) 安全 审计 。 

(4) 安全 域 隔离 。 

只 要 有 了 这 些 最 底层 的 安全 功能 ,各 种 混 为 “ 应 用 软件 ”的 病毒 .木马 程序 网络 人 侵 
和 人 为 非法 操作 才能 被 真正 抵制 ,因为 它们 违背 了 操作 系统 的 安全 规则 ,也 就 失去 了 运行 
的 基础 。 


73 相关 知识 点 


7.3.1 操作 系统 安全 的 概念 


从 操作 系统 上 看 ,企业 网 络 客户 端 基 本 上 都 是 Windows 平台 ,中 小 型 企业 服务 器 一 
般 采用 Windows Server 2003/2008 系统 。 部 分 行业 或 大 型 企业 的 关键 业务 应 用 服务 器 
采用 UNIX/Linux 操作 系统 。Windows 平台 的 特点 是 具有 和 良好 的 图 形 用 户 界面 。 而 
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Linux 系统 的 稳定 性 和 大 数据 量 可 靠 处 理 能 力 使 得 它 更 适用 于 关键 性 业务 应 用 。 
目前 ,网 络 服务 器 应 用 情况 和 我 国 网 络 安全 措施 综合 分 析 ,网 络 操作 系统 安全 级 别 主 
要 包括 以 下 几 种 。 


l. 服务 器 基本 安全 策略 


网 络 服务 器 安全 配置 的 基本 安全 策略 宗旨 是 “最 小 权限 十 最 少 应 用 十 最 细 设 置 十 日 
常 检 查 一 最 高 的 安全 ”。 
。 最 小 权限 是 指 各 种 服务 与 应 用 程序 运行 在 最 小 的 权限 范围 内 。 
。 最 少 应 用 是 指 服务 器 仅 安装 必须 的 应 用 软件 与 程序 。 
。 最 细 的 设置 是 指 在 应 用 安全 策略 上 必须 做 到 周全 、 细 心 。 
* 日 常 的 检查 是 指 服务 器 的 日 常 检查 、 系 统 优化 .垃圾 临时 文件 清理 .日 志文 件数 据 
的 分 析 等 常规 工作 。 


2. 网 络 操作 系统 本 身 的 安全 


操作 系统 刚 推出 来 时 ,肯定 会 存在 不 少 漏洞 。 对 于 网 络 服务 器 系统 ,应 时 刻 关 注 是 否 
将 所 有 系统 补丁 都 完全 更 新 到 最 新 。 通 常 可 以 将 补丁 的 更 新 设置 为 自动 进行 ,以 便 不 断 
检查 网 络 操作 系统 本 身 存 在 的 一 些 已 知 或 者 未 知 的 漏洞 与 隐患 是 否 进行 了 修正 或 补充 。 


3. 密码 与 口令 安全 
应 确认 网 络 操作 系统 口令 和 各 种 应 用 程序 .服务 器 等 口令 是 否 是 复杂 的 密码 或 口令 。 
4. Web 服务 器 自身 的 安全 


如 用 户 在 进行 Web 服务 器 设置 时 安全 级 别 的 高 低 、 虚 拟 主机 的 安全 、 网 页 目录 读 写 
权限 等 。 


5. TCP/IP 协议 相关 安全 


采用 TCP/IP 网 络 协议 的 相关 安全 主要 包括 TCP/UDP 端口 安全 .ACL( 访 问 控制 列 
K) 防火 墙 安全 策略 等 。 


7.3.2 服务 与 端口 


端口 是 计算 机 和 外 部 网 络 相连 的 逻辑 接口 ,也 是 计算 机 的 第 一 道 屏 障 , 端 口 配置 正确 
与 否 直接 影响 到 主机 的 安全 。 一 般 来 说 ,只 打开 需要 使 用 的 端口 会 比较 安全 。 

在 网 络 技术 中 ,端口 大 致 有 两 种 含义 : 一 是 物理 意义 上 的 端口 ,比如 ADSL Modem 
集线器 .交换 机 、 路 由 器 ,用 于 连接 其 他 网 络 设备 的 接口 ,如 RJ-45 端口 .SC 端口 等 ;二 是 
逻辑 意义 上 的 端口 ,一 般 是 指 TCP/IP 协议 中 的 端口 ,端口 号 的 范围 为 0 一 65535, 比 如 用 
于 浏览 网 页 服务 的 80 端口 .用 于 FTP 服务 的 21 端口 等 。 

逻辑 意义 上 的 端口 有 多 种 分 类 标准 ,下 面 将 介绍 两 种 常见 的 分 类 。 
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1. 按 端口 号 分 类 


(1) 知名 端口 

知名 端口 (Well Known Ports) 是 指 众 所 周知 的 端口 号 ,也 称 为 “常用 端口 ,范围 为 
0 一 1023 ,这 些 端口 号 一 般 固定 分 配给 一 些 服务 。 比 如 80 端口 分 配给 HTTP 服务 ;21 Pig 
口 分 配给 FTP 服务 ;25 端口 分 配给 SMTP( 简 单 邮 件 传输 协议 ) 服 务 等 。 这 类 端口 通常 
不 会 被 木马 之 类 的 黑客 程序 所 利用 。 

(2) 动态 端口 

动态 端口 (Dynamic Ports) 的 范围 为 1024 一 65535 ,这 些 端 口号 一 般 不 固定 分 配给 某 
个 服务 ,也 就 是 说 许多 服务 都 可 以 使 用 这 些 端口 。 只 要 运行 的 程序 向 系统 提出 访问 网 络 
的 申请 ,那么 系统 就 可 以 从 这 些 端口 号 中 分 配 一 个 供 该 程序 使 用 。 比 如 1024 端口 就 是 分 
配给 第 一 个 向 系统 发 出 申请 的 程序 。 在 关闭 程序 进程 后 ,就 会 释放 所 占用 的 端口 号 。 

这 样 ,动态 端口 也 常常 被 病毒 木马 程序 所 利用 ,如 冰河 默认 连接 端口 是 7626, WAY 
2.4 默认 连接 端口 是 8011,Netspy 3. 0 默认 连接 端口 是 7306,YAI 病毒 默认 连接 端口 是 
1024 等 。 


2. 按 协议 类 型 分 类 


按 协议 类 型 划分 ,可 以 分 为 TCP, UDP, IP 和 ICMP(Internet 控制 消息 协议 ) 等 端口 。 

下 面 主要 介绍 TCP 和 UDP 端口 。 

(1) TCP 端口 

TCP 端口 , 即 传输 控制 协议 端口 ,需要 在 客户 端 和 服务 器 之 间 建 立 连接 ,这 样 可 以 提 
供 可 靠 的 数据 传输 。 常 见 的 包括 FTP 服务 的 21 端口 、Telnet 服务 的 23 端口 ,SMTP JI 
务 的 25 端口 以 及 HTTP 服务 的 80 端口 等 。 

(2) UDP 端口 

UDP 端口 , 即 用 户 数据 报 协议 端口 ,无 须 在 客户 端 和 服务 器 之 间 建 立 连接 ,安全 性 得 
不 到 保障 。 常 见 的 有 DNS 服务 的 53 端口 ,SNMP( 简 单 网 络 管理 协议 ) 服 务 的 161 端口 ， 
QQ 使 用 的 8000 和 4000 端口 等 。 


3. 查看 端口 


在 局 域 网 的 使 用 中 ,经 常会 发 现 系 统 中 开放 了 一 些 莫名 其 妙 的 端口 ,给 系统 的 安全 带 
来 隐患 。Windows 提供 的 netstat 命令 ,能 够 查看 到 当前 端口 的 使 用 情况 。 具 体操 作 步 
RUF. 

Ah FAAEE SE n S FE" da EITA AE A A 
netstat -na 命令 并 按 Enter 键 ,就 会 显示 本 机 连接 的 情况 和 打开 的 端口 ,如 图 7-1 所 示 。 

其 显示 了 以 下 统计 信息 。 

(1) Proto: 协议 的 名 称 (TCP 或 UDP) 。 

(2) Local Address: 本 地 计算 机 的 IP 地 址 和 正在 使 用 的 端口 号 。 如 果 不 指 定 -n 参 
数 ,就 显示 与 IP 地 址 和 端口 名 称 相对 应 的 本 地 计算 机 名 称 。 如 果 端 口 尚未 建立 , 则 端口 
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LISTENING 


图 7-1 netstat -na 命令 


以 星 号 (* ) 显 示 。 

(3) Foreign Address: 连接 该 接口 的 远程 计算 机 的 TP 地 址 和 端口 号 。 如 果 不 指定 -n 
参数 ,就 显示 与 IP 地 址 和 端口 相对 应 的 名 称 。 如 果 端 口 尚 未 建立 , 则 端口 以 星 号 (*) 
显示 。 

(4) State: 表明 TCP 连接 的 状态 

如 果 输 入 的 是 netstat -nab 命令 ,还 将 显示 每 个 连接 是 由 哪些 进程 创建 的 以 及 该 进 
程 一 共 调 用 了 哪些 组 件 来 完成 创建 工作 。 

除了 用 netstat 命令 之 外 ,还 有 很 多 端口 监视 软件 也 可 以 查看 本 机 打开 了 哪些 端口 ， 
如 端口 查看 器 、TCPView、Fport 等 。 


7.3.3 组 策略 


1. 组 策略 基础 


注册 表 是 Windows 系统 中 保存 系统 软件 和 应 用 软件 配置 的 数据 库 , 而 随 着 
Windows 的 功能 越 来 越 丰富 ,注册 表 里 的 配置 项 目 也 越 来 越 多 ,很 多 配置 都 可 以 自 定义 
设置 ,但 这 些 配 置 分 布 在 注册 表 的 各 个 角落 ,如 果 是 手工 配置 ,可 以 想象 会 多 么 困难 和 繁 
杂 。 而 组 策略 则 将 系统 重要 的 配置 功能 汇集 成 各 种 配置 模块 ,供用 户 直 接 使 用 ,从 而 达到 
方便 管理 计算 机 的 目的 。 

实际 上 组 策略 是 一 种 让 管理 员 集 中 计算 机 和 用 户 的 手段 或 方法 。 组 策略 适用 于 众多 
方面 的 配置 ,如 软件 、 安 全 性 、IE、 注 册 表 等 。 在 活动 目录 中 利用 组 策略 可 以 在 站 点 、 域 、 
OU 等 对 象 上 进行 配置 ,以 管理 其 中 的 计算 机 和 用 户 对 象 ,可 以 说 组 策略 是 活动 目录 的 一 
个 非常 大 的 功能 体现 。 


2. 组 策略 基础 架构 


如 图 7-2 所 示 ,组 策略 分 为 两 大 部 分 : 计算 机 配置 和 用 户 配置 。 每 一 个 部 分 都 有 自 
己 的 独立 性 ,因为 它们 配置 的 对 象 类 型 不 同 。 计 算 机 配置 部 分 控制 计算 机 账户 ,同样 用 户 
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配置 部 分 控制 用 户 账户 。 其 中 有 一 部 分 配置 在 计算 机 部 分 拥有 ,在 用 户 部 分 也 有 ,但 它们 
是 不 会 跨越 执行 的 。 假 设 你 希望 某 个 配置 选项 被 计算 机 账户 启用 ,也 被 用 户 账户 启用 , 那 
么 就 必须 在 计算 机 配置 和 用 户 配置 部 分 都 进行 设置 。 总 之 计算 机 配置 下 的 设置 仅 对 计算 
机 对 象 生效 ,用 户 配置 下 的 设置 仅 对 用 户 对 象 生效 。 


Windows 设置 
Gu 控制 面板 设置 


7-2 组 策略 构架 


7.3.4 账户 与 密码 安全 


系统 用 户 账 号 不 适当 的 安全 问题 是 攻击 侵入 系统 的 主要 手段 之 一 。 其 实 小 心 的 账号 
管理 员 可 以 避免 很 多 潜在 的 问题 ,如 选择 强 固 的 密码 ,有 效 的 策略 加 强 通知 用 户 的 习惯 ， 
分 配 适当 的 权限 等 。 所 有 这 些 要 求 一 定 要 符合 安全 结构 的 尺度 。 介 于 整个 过 程 实施 的 复 
杂 性 ,需要 多 个 用 户 共同 来 完成 ,而 当 维 护 小 的 入 侵 时 就 不 需要 麻烦 所 有 的 这 些 用 户 。 

用 户 账号 不 适当 的 安全 问题 是 攻击 侵入 系统 的 主要 手段 之 一 。 其 实 小 心 的 账号 管理 
员 可 以 避免 很 多 潜在 的 问题 ,如 选择 强 固 的 密码 有 效 的 策略 加 强 通 知 用 户 的 习惯 分 配 
适当 的 权限 等 。 所 有 这 些 要 求 一 定 要 符合 安全 结构 的 尺度 。 介 于 整个 过 程 实施 的 复杂 
性 ,需要 多 个 用 户 共 同 来 完成 ,而 当 维 护 小 的 入 侵 时 就 不 需要 麻烦 所 有 这 些 用 户 。 


7.3.5 ”加 密 文件 系统 (EFS) 


加 密 文 件 系 统 (EFS) 是 一 个 功能 强大 的 工具 ,用 于 对 客户 端 计算 机 和 远程 文件 服务 
器 上 的 文件 和 文件 夹 进行 加 密 。 它 使 用 户 能 够 防止 其 数据 被 其 他 用 户 或 外 部 攻击 者 未 经 
授权 就 进行 访问 。 它 是 NTFS 文件 系统 的 一 个 组 件 , 只 有 拥有 加 密 钥 和 故障 恢复 代理 才 
可 以 读 取 数据 。 


1. EFS 的 应 用 条 件 


(1) NTFS, 
(2) 具有 系统 属性 的 文件 无 法 加 密 。 
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故障 恢复 代理 : 指定 用 于 进行 EFS 文件 恢复 的 用 户 账号 ,该 账号 将 申请 一 张 文 件 故 
障 恢复 的 证 书 , 同 是 还 有 持 有 与 这 张 证 书 相应 的 公 钥 私 钥 对 ,用 于 对 加 密 文 件 进行 故障 
恢复 。 


2. EFS 加 密 过 程 


a) 当 一 个 用 户 第 一 次 加 密 某 个 文件 时 ,EFS 会 在 本 地 证 书 产生 一 个 EFS 证 书 ( 非 
对 称 ) 。 

(2) EFS 也 会 随机 产生 一 个 FEK( 文 件 加 密 密 钥 ,对 称 ) 。 

(3) EFS 会 用 第 一 步 产 生 的 证 书 的 公 钥 对 FEK 进行 加 密 。 

(4) EFS 会 将 加 密 后 的 FEK 存储 在 DDF (数据 解压 区 ) (DDF 区 域 大 约 能 够 存储 
700 多 个 经 过 用 户 公 钥 加 密 的 FEK). 


7.3.6 漏洞 与 后 门 


网 络 漏洞 是 黑客 有 所 作为 的 根源 所 在 。 漏 洞 是 指 任意 的 允许 非法 用 户 未 经 授权 获得 
访问 或 提高 其 访问 权限 的 硬件 或 软件 特征 。 它 是 由 系统 或 程序 设计 本 身 存在 的 缺陷 , 当 
然 也 有 人 为 系统 配置 上 的 不 合理 造成 的 。 

后 门 程序 一 般 是 指 那些 绕 过 安全 性 控制 而 获取 对 程序 或 系统 访问 权 的 程序 方法 。 在 
软件 的 开发 阶段 ,程序 员 常 常会 在 软件 内 创建 后 门 程序 以 便 可 以 修改 程序 设计 中 的 缺陷 。 
但 是 ,如 果 这 些 后 门 被 其 他 人 知道 ,或 是 在 发 布 软件 之 前 没有 删除 后 门 程序 ,那么 它 就 成 
了 安全 风险 ,容易 被 黑客 当成 漏洞 进行 攻击 。 

入 侵 者 通过 什么 方法 在 “肉鸡 ”中 留 下 后 门 呢 ? 入 侵 者 可 以 通过 在 系统 中 建立 后 门 账 
号 .在 系统 中 添加 漏洞 、 在 系统 中 种 植木 马 来 实 现 。 在 各 种 各 样 的 后 门 中 ,一 般 也 不 外 乎 
“账号 后 门 "”“ 漏 洞 后 门 " 和 “木马 后 门 ” 三 类 。 

账号 后 门 常 用 手段 是 克隆 账号 , 它 是 把 管理 员 权限 复制 给 一 个 普通 用 户 ,简单 来 说 就 
是 把 系统 内 原 有 的 账号 (如 Guest 账号 ) 变 成 管理 员 权 限 的 账号 。 黑 客 通 过 一 些 典 型 的 服 
务 器 漏洞 (如 Unicode、. ida 和 . idq) ,可 以 很 轻易 地 控制 远程 服务 器 的 操作 系统 。 

黑客 可 以 制作 一 种 SQL 后 门 ,只 要 把 该 后 门 文件 放 入 远程 的 Web 根 目录 下 ,就 可 以 通 
过 下 浏览 器 在 远程 服务 器 中 执行 任何 命令 。 另 外 ,网 络 防火 墙 不 会 过 滤 掉 发 往 Web 服务 
器 的 连接 请 求 ,所 以 该 后 门 对 于 那些 提供 Web 服务 和 SQL 服务 的 远程 服务 器 特别 实用 。 


74 项 目 实 施 


任务 7-1 账户 安全 配置 


1. 重 命 名 和 禁用 默认 的 账户 


安装 好 Windows Server 2008 后 ,系统 会 自动 建立 两 个 账户 : Administrator 和 Guest; 
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布 击 桌面 上 的 “我 的 计算 机 ”图 标 ,选择 “管理 ”命令 ,打开 “计算 机 管理 ”窗口 。 在 左边 
列表 中 找到 并 展开 “本 地 用 户 和 组 ”, 单 击 “ 用 户 ”, 可 以 看 到 系统 中 的 账户 。 

(1) Administrator 账户 

Administrator( 管 理 员 ) 账 户 拥 有 计算 机 的 最 高 管理 权限 ,每 一 台 计 算 机 至 少 需 要 一 
个 拥有 管理 员 权 限 账户 ,但 不 一 定 必须 使 用 Administrator 这 个 名 称 。 黑 客人 侵 计算 机 系 
统 的 常用 手段 之 一 就 是 试图 获得 管理 员 账 户 的 密码 。 如 果 系 统 的 管理 员 账 户 的 名 称 没有 
修改 ,那么 黑客 将 轻易 得 知 管理 员 账 户 的 名 称 , 接 下 来 就 是 寻找 密码 了 。 比 较 安全 的 做 法 
是 对 系统 的 管理 员 账 户 的 名 称 进行 修改 ,这 样 , 如 果 黑 客 要 得 到 计算 机 系统 的 管理 员 权 
限 , 需 要 同时 猜测 账户 的 名 称 和 密码 ,增加 了 黑客 人 侵 的 难度 。 

(2) Guest 账户 

在 Windows Server 2008 中 ,Guest 账户 即 所 谓 的 来 宾 账 户 , 只 有 基本 的 权限 并 且 默 
认 是 禁用 的 。 如 果 不 需 要 Guest 账户 ,一 定 要 禁用 它 , 因 为 Guest 也 为 黑客 人 侵 提 供 了 
方便 。 

禁用 Guest 账户 的 方法 是 ,在 右边 窗口 中 双击 Guest 账户 ,如 图 7-3 所 示 , 在 弹出 的 
"Guest 属性 ”对 话 框 中 选中 “账户 已 停 用 ”。 


Xfto) 操作 WOO 帮助 00 
e 9 zimixo:s i 
更 多 操作 » 
更 多 操作 » 
mp uw 
a By 服务 和 应 用 程序 
E 
=E 
ca 4 eu aS DeSoP M 


图 7-3 禁用 Guest 账户 


2. 可 靠 的 密码 


(1) 密码 策略 
尽管 绝对 安全 的 密码 是 不 存在 的 ,但 是 相对 安全 的 密码 还 是 可 以 实现 的 。 在 “开始 ” 
菜单 中 打开 “运行 ”对 话 框 ,输入 secpol. msc, 打 开 “ 本 地 安全 策略 ”窗口 ,如 图 7-4 所 示 , 展 
开 “ 账 户 策略 ”, 单 击 “ 密 码 策 略 ”, 右 侧 有 6 项 关于 密码 的 设置 策略 ,通过 这 些 策略 的 配置 ， 
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EE] EHI 
LE] DENDE 
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图 7-4 本 地 安全 设置 


(2) 给 账户 双重 加 密 


虽然 为 账户 设置 了 复杂 的 密码 ,但 密码 总 有 被 破解 的 可 能 。 此 时 可 以 为 账户 设置 双 
重 加 密 。 

在 “开始 ”菜单 中 打开 “运行 ”对 话 框 ,输入 syskey, 打 开 * 保 证 Windows XP 账户 数据 
库 的 安全 ”对 话 框 ,如 图 7-5 所 示 , 选 中 “启用 加 密 ”, 单 击 “ 确 定 ” 按 钮 ,这 样 程序 就 对 账户 
完成 了 双重 加 密 ,不 过 这 个 加 密 过 程 对 用 户 来 说 是 透明 的 。 

如 果 想 更 进一步 体验 这 种 双重 加 密 功 能 ,可 以 在 图 7-5 中 单 击 “ 更 新 ”按钮 ,打开 “ 启 


动 密码 ”对 话 框 ,如 图 7-6 所 示 , 这 里 有 “启动 密码 "和 “系统 产生 的 密码 ”两 个 选项 。 


保证 Windows XP 账户 数据 库 的 安全 


E Wirt RR 


一 旦 启用 这 个 加 密 就 不 能 禁用 。 


个 禁用 加 密 中 ) 


6 BENED 
取消 更 新 四 


图 7-5 “保证 Windows XP 账户 数据 库 的 安全 ”对 话 框 
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C 在 软盘 上 保存 启动 密码 QD 
在 系统 局 动 时 需要 键入 一 个 软盘 


C 在 本 机 上 保存 启动 密码 D 


Nr 


zs 
图 7-6 “启动 密码 ”对 话 框 


项 目 7 Window Server 系统 安全 


如 果 选 择 “ 启 动 密码 ”, 那 么 需要 自己 设置 一 个 密码 ,这 样 在 登录 Windows XP 之 前 需 
要 先 输入 这 个 密码 ,然后 才能 选择 登录 的 账户 。 


任务 7-2 密码 安全 配置 


用 户 密码 是 保证 计算 机 安全 的 第 一 道 屏 障 , 是 计算 机 安全 的 基础 。 如 果 用 户 账户 特 
别 是 管理 员 账 户 没 有 设置 密码 ,或 者 设置 的 密码 非常 简单 ,那么 计算 机 将 很 容易 被 非 授 权 
用 户 登 录 ,进而 访问 计算 机 资源 或 更 改 系统 配置 。 目 前 互联 网 上 的 攻击 很 多 都 是 因为 密 
码 设置 过 于 简单 或 根本 没 设置 密码 造成 的 ,因此 应 该 设置 合适 的 密码 和 密码 设置 原则 ,从 
而 保证 系统 的 安全 。 

Windows Server 2008 的 密码 原则 主要 包括 以 下 4 项: 密码 必须 符合 复杂 性 要 求 , 密 
码 长 度 最 小 值 ,密码 使 用 期 限 和 强制 密码 历史 等 。 


1. 启用 “密码 复杂 性 要 求 ” 


对 于 工作 组 环境 的 Windows 系统 ,默认 密码 没有 设置 复杂 性 要 求 ,用 户 可 以 使 用 空 
密码 或 简单 密码 ,如 123、abc 等 ,这 样 黑客 很 容易 通过 一 些 扫描 工具 得 到 系统 管理 员 的 密 
码 。 对 于 域 环境 的 Windows Server 2008 ,默认 即 启 用 了 密码 复杂 性 要 求 。 要 使 本 地 计算 
机 启用 密码 复杂 性 要 求 ,只 要 在 “本 地 安全 策略 ”对 话 框 中 选择 “账户 策略 ”下 的 “密码 策 
上 咯 ” 选 项 ,双击 右 窗 格 中 的 “密码 必须 符合 复杂 性 要 求 ”图 标 ,打开 其 属性 对 话 框 ,选择 “已 
启用 ” 单 选项 即 可 ,如 图 7-7 所 示 。 


Bpe55bBoss & 


图 
a 
a 
a 
图 
图 
图 


图 7-7 启用 密码 复杂 性 要 求 


启用 密码 复杂 性 要 求 后 , 则 所 有 用 户 设置 的 密码 必须 包含 字母 ,数字 和 标点 符号 等 才 
能 符合 要 求 。 例 如 ,密码 ab%&3D80 符合 要 求 ,而 密码 asdfgh 不 符合 要 求 。 
2. 设置 “密码 长 度 最 小 值 ” 


默认 密码 长 度 最 小 值 为 0 个 字符 。 在 设置 密码 复杂 性 要 求 之 前 ,系统 允许 用 户 不 设 
置 密码 。 但 为 了 系统 的 安全 ,最 好 设置 最 小 密码 长 度 为 6 或 更 长 的 字符 。 在 “本 地 安全 设 
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置 ? 对 话 框 中 选择 “账户 策略 ?下 的 "密码 策略 ?选项 ,双击 右边 的 “密码 长 度 最 小 值 ”, 在 打 
开 的 对 话 框 中 输入 密码 最 小 长 度 即 可 。 


3. 设置 “密码 使 用 期 限 ” 


默认 的 密码 最 长 有 效 期 为 42 天 ,用 户 账户 的 密码 必须 在 42 天 之 后 修改 ,也 就 是 说 密 
码 会 在 42 天 之 后 过 期 。 默 认 的 密码 最 短 有 效 期 为 0 天, 即 用 户 账户 的 密码 可 以 立即 修 
改 。 与 前 面 类 似 ,可 以 修改 默认 密码 的 最 长 有 效 期 和 最 短 有 效 期 。 


4. 设置 “强制 密码 历史 ” 


默认 强制 密码 历史 为 0 个。 如果 将 强制 密码 历史 改 为 3 个 , 即 系统 会 记 住 最 后 3 个 
用 户 设置 过 的 密码 。 当 用 户 修 改 密码 时 ,如 果 为 最 后 3 个 密码 之 一 ,系统 将 拒绝 用 户 的 要 
求 ,这 样 可 以 防止 用 户 重复 使 用 相同 的 字符 来 组 成 密码 。 与 前 面 类 似 ,可 以 修改 强制 密码 
历史 设置 。 


任务 7-3 系统 安全 配置 


要 启用 EFS, 可 以 在 图 形 界面 中 完成 ,也 可 以 通过 命令 Cipher 完成 。 相 比 图 形 界面 ， 
Cipher 的 功能 更 为 强大 。EFS 图 形 界面 操作 其 实 很 简单 。 在 计算 机 里 面 选择 要 进行 
EFS 的 文件 ,然后 右 击 并 选择 “属性 ”命令 ,在 “属性 ”对 话 框 里 面 单 击 “ 高 级 "按钮 ,打开 
“高 级 属性 ”对 话 框 ,如 图 7-8 所 示 。 


SREY 


7-8 “高 级 属性 对话 框 


任务 7-4 服务 安全 配置 


1. 关闭 139 端口 


关闭 139 端口 的 方法 是 在 “网 络 和 拨号 连接 ”>“ 本 地 连接 ”中 选取 “Internet 协议 
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(TCP/IP)” 属 性 ,打开 的 对 话 框 如 图 7-9 所 示 。 另 外 ,进入 “高 级 TCP/IP iE "Wins 
设置 "里 面 有 一 项 “禁用 TCP/IP 的 NETBIOS”, 选 中 后 就 关闭 了 139 端口 。 


TCP/IP 3:3 


回忆 用 TCP/I Wit 所 有 适配器 ) @) 


O£mBitiro 〇 全 部 允 许 旭 


7-9 禁用 139 端口 


2. 关闭 分 区 默认 共享 (如 C$ DS$ 、E$ …) 


CD 单 击 “开始 ”一 运行 ”命令 ,在 弹出 的 “运行 ?对话 框 中 输入 regedit 后 并 按 Enter 
键 ,打开 注册 表 编 辑 器 。 展 开 HKEY _ LOCAL _ MACHINE \ SYSTEM \ Current- 
ControlSet\Services\Lanmanserver\Parameters 注册 表 项 。 

(2) 双击 右 窗 格 中 的 DWORD 类 型 AutoShareServer, 将 它 的 键 值 改 为 0 即 可 ,如 
图 7-10 所 示 。 如 果 没 有 DWORD 类 型 AutoShareServer 项 ,可 自己 新 建 一 个 再 改 键 值 ， 
如 图 7-10 所 示 。 


REG_DWORD 
REG_DWORD 
REG_DWORD 

m. REG DWORD 


REG. DWORD 
REG DWORD 
REG BINARY 


REG DWORD 
29] NullSessionPipes REG, MULTI. SZ 
$3) requiresecuritysignaturee REG DWORD 
d) restrictnullsessaccess 

I 


图 7-10 关闭 分 区 默认 共享 


3. 关闭 管理 默认 共享 (ADMIN $ ) 
COD 单 击 “ 开 始 ”>“ 运 行 " 命 令 ,在 弹出 的 “运行 "对话 框 中 输入 regedit 后 并 按 Enter 
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键 , 打 开 注 册 表 编辑 器 。 展 开 HKEY LOCAL _ MACHINE V SYSTEM V Current- 
ControlSet\ Services\Lanmanserver\ parameters 注册 表 项 。 
(2) 双击 右 窗 格 中 的 DWORD 类 型 AutoShareWks, 将 它 的 键 值 改 为 0 即 可 。 


4. 关闭 IPC$ 默认 共享 


CD 单 击 “ 开 始 ” 一 "运行 ”命令 ,在 弹出 的 “运行 "对话 框 中 输入 regedit 后 并 按 Enter 
键 ,打开 注册 表 编 辑 器 。 

(2) 展开 HKEY LOCAL _MACHINE\SYSTEM\CurrentControlSet\Control\ Lsa 
注册 表 项 。 

(3) 双击 DWORD 类 型 restrictanonymous ,将 其 键 值 设 为 1 即 可 。 


任务 7-5 使 用 MBSA 检测 和 加 固 Windows 主机 的 操作 系统 


Microsoft Baseline Security Analyzer( MBSA) 是 一 款 简 单 易 用 的 工具 ,帮助 中 小 型 企业 
根据 Microsoft 的 安全 建议 确定 其 安全 状态 ,并 根据 状态 提供 具体 的 修正 指导 。 使 用 MBSA 
检测 常见 的 安全 性 错误 配置 和 计算 机 系统 遗漏 的 安全 更 新 ,改善 用 户 的 安全 管理 流程 。 

官方 下 载 地 址 : 

http://www. microsoft. com/ download/en/ details. aspx? displaylang 一 en&-id 一 7558 

教程 : 

http://www. heibai. net/article/info/info. php? infoid— 18668 


1. 运行 MBSA 


打开 已 经 安装 好 的 MBSA 扫描 软件 的 快捷 方式 图 标 , 即 可 看 到 MBSA 主 程序 界面 ， 
如 图 7-11 所 示 。 


urity Ana 


ne Security Analyzer 


Welcome to the Microsoft Baseline 
Security Analyzer 


E] Welcome. The Microsolt Boneine Secuiy Anak chock 

I Pick a computer to scan T 

[ Pick multiple computers to scan. 

E] Pika lo view 

El Vewa Sane can be performed caly and enc against computers 
tunning Windows Server 2003, Windows XP, Windows 2000, 
and Windows NT 4.0. Note that on computers running 

See Also Windows XP and using single e shaing. oniy local scans can 


be performed. 
O Mictosolt Baseline Securty 
Analyzer Help 


Scan a computer 
E] About Microsoft Baseine Securty 
Analyzer Scan more than one computer 


E] Microsoft Securty Web ste B veneto security reports 


人 
download page 


图 7-11 MBSA 主 程序 界面 
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MBSA 界面 功能 介绍 。 

(1) Scan a computer; 使 用 计算 机 名 称 或 者 IP 地 址 来 检测 单 台 计算 机 ,适用 于 检测 
本 机 或 者 网 络 中 的 单 台 计算 机 。 

(2) Scan more tham one computer; 使 用 域名 或 者 IP 地 址 来 检测 多 台 计 算 机 。 

(3) View existing security reports: 查看 已 经 检测 过 的 安全 报告 。 


2. 设置 单机 MBSA 扫描 选项 


单 击 Scan a computer, 接 着 会 出 现 一 个 扫描 参数 设置 对 话 框 ,如 图 7-12 Bros ,如 果 仅 
仅 是 针对 本 机 就 不 用 设置 Computer name 和 IP address, MNSA 会 自动 获取 本 机 的 计算 
机 名 称 ,例如 在 本 例 中 扫描 的 计算 机 名 称 为 WORKGROUP\5034-52。 如 果 要 扫描 网 络 
中 的 计算 机 , 则 需要 在 IP address 中 输入 欲 扫 描 的 IP 地址。 在 MBSA 扫描 选项 中 ,默认 
会 自动 命名 一 个 安全 扫描 报告 名 称 (%D% - C9 (%T%)), 即 Security report name, 
该 名 称 按照 “域名 -计算 机 名 称 (扫描 时 间 )” 进 行 命名 ,用 户 也 可 以 输入 一 个 自 定义 的 名 称 
来 保存 扫描 的 安全 报告 。 然 后 选择 Options 的 安全 检测 选项 。 


Pick a computer to scan 


Specify the computer you want to scan. You can enter either the computer name or its IP 
LJ Welcome adde. 
C Pick a computer to scan. mE —— 
E] Pick mulie computers to scan Lucani [WORKGROUPNSO3452 E) (is compute 
C Pick a security report to view IP address: OCOC 8 
E] View a security report rr — [- ETSI 
Bes Ali XO c domain, CX = computer, XTX = date and ne, d 
回 Check for Windows vulnerabilities 
Check for weak passworde 
Check for IIS yulnerabiities 
C Microsolt Security Web site 回 Check for SQL vulnerablies 

Check for securi updates. 

E Use SUS Server: 


C Microsoft Baseline Security Options: 
Analyzer Help 


C About Microsoft Baseline Security 
Analyzer 


Leam more about Scanring Options 


B Satso 
a 本 il 


DA new version of MBSA is available! Cick here to go to the download page. 


E712 设置 扫描 参数 


扫描 选项 说 明 如 下 。 

(D Check for Windows vulnerabilities; 检测 Windows 管理 方面 的 漏洞 。 

© Check for weak passwords: 检测 弱 口令 。 

( Check for IIS vulnerabilities; 检测 IIS 管理 方面 的 漏洞 。 如 果 计 算 机 提供 Web 
服务 , 则 可 以 选择 该 项 。 在 本 例 中 由 于 是 Windows XP 系统 ,一 般 情况 都 没有 安装 IIS, 因 
此 可 以 不 选择 该 项 。 
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@ Check for SQL vulnerabilities: 检测 SQL 程序 设置 等 方面 的 漏洞 ,例如 检测 是 否 
更 新 了 最 新 补丁 .口令 设置 等 。 

© Check for security updates; 检测 安全 更 新 ,主要 用 于 检测 系统 是 否 安装 微软 的 补 
丁 , 不 需要 通过 微软 的 正版 认证 。 

前 四 项 是 安全 检测 选项 ,可 根据 实际 情况 选择 。 最 后 一 项 是 到 微软 站 点 更 新 安全 策 
咯 、 安 全 补丁 等 最 新 信息 ,如果 不 具备 联网 环境 可 以 不 选择 。 


3. 开始 扫描 
单 击 Start Scan 开始 扫描 ,可 以 查看 本 次 扫描 的 进度 及 扫描 的 目标 ,如 图 7-13 所 示 。 


Scanning... 


LJ Welcome 
GP om ID een Currently scanning WORKGROUP\5034.52 
C Pick multiple computers to scan 
回 Pick a security report to view 


E] View a security report 


See Also 


LJ Microsolt Baseline Security 
Analyzer Help 


osoft Baseline Security 
— 
peser rk s LO ee cios 
download page. 


a 
ü 


图 7-13 MBSA 扫描 进度 


扫描 结束 后 ,程序 会 自动 跳 转 扫描 结果 窗口 ,如 图 7-14 所 示 。 在 扫描 报告 中 可 以 按 
HE Score worst first) 和 Score(worst best) 两 种 方式 进行 排序 来 显示 扫描 结果 。 在 扫描 
结果 中 主要 有 Security Update Scan Results, Windows Scan Results 等 几 个 类 别 。 

在 扫描 报告 中 (如 图 7-15 所 示 ) ,可 以 看 到 扫描 结果 前 面 有 不 同 符号 及 不 同 颜色 的 图 
标 ,它们 分 别 代表 不 同 程度 的 安全 隐患 。 


任务 7-6 Web 站 点 服务 器 安全 配置 方案 


1. 操作 系统 配置 


(1) 安装 操作 系统 (NTFS 分 区 ) 后 ,再 安装 杀毒 软件 。 
(2) 安装 系统 补丁 。 扫 描 漏 洞 并 全 面 杀毒 。 
G) 删除 Windows Server 2008 默认 共享 的 设置 。 首 先 编写 如 下 内 容 的 批 处 理 文件 : 
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€ Nicrosoft Baseline Security Analyzer 


$ /Baseline Security Analyzer 


View security report 


Sort Order. [ Score [worst frst) S] 


WORKGROUP\5034.52 
[ Pick a computer to scan. 192168152 
E] Pick muliple computers lo scan : WORKGROUP - 5034:52 (2011-10-17 10.54) 
LJ Pick a security report to view 3 20111017 1054. 
C] View a security report Tossiet 
Security updates scan not perfomed 
1209.100.014 
See Also Incomplete Scan [Could not complete one or mc 
E] Microsoft Baseine Securty requested checks J 
Analyzer Help. 


LJ About Microsolt Baseline Security 
Anayzer 


En aa Windows Check could not be perfomed because the registy could not | 
Secuiy accessed 
Updates 


a 
pJ 


[pee Ned secu repor (D 


(i) A new version of MBSA is available! Cick here to go to the download page. 


© 2002-2004 Micr 


crosoft Baseline 


View security report 


Sot Order. [Score [worst frst) 国 


[ Pick a computer to scan 

[ Pick mulie computers to scan 
LI Pick a security report to view 
C View a securily report 


Check could not be performed because the. 


See Also 
C Microsoft Baseline Securty 
Analyzer Help. 


[ About Microsolt Baseline Securty 
Analyzer 


C Microsoft Security Web site Automatic The Automatic Updates system service is not | 
Updates conectiy configured. 
What was scanned How to correct this 


Actions 


和 Local Account Some user accounts (3 of 3) have blank or simple. 
Ba Copy Password Test passwords, or could not be analyzed. 
What was scanned — Result details 
How to conect this 


Mf Pera Compter is propel resticting anonymous — 


naraman 


国 Provins sect raport Nest security report M 


(a) A new version of MBSA is avaabiel Cick here to go to the download page 


图 7-15 扫描 报告 
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文件 名 为 delshare. bat, 放 到 启动 项 中 ,每 次 开机 时 会 自动 删除 共享 。 

(4) 禁用 IPC 连接 

打开 CMD 后 ,输入 如 下 命令 即 可 进行 连接 : net use\\ip\ipc $ "password" /user: 
"usernqme" 。 我 们 可 以 通过 修改 注册 表 来 禁用 IPC 连接 。 打 开 注 册 表 编辑 器 ,找到 如 下 
项 KEY LOCAL | MACHINE V SYSTEM \ CurrentControlSet V Control V Lsa 中 的 
restrictanonymous 子 键 ,将 其 值 改 为 1, 即 可 禁用 IPC 连接 。 

(5) 删除 “网 络 连接 "里 的 协议 和 服务 

在 “网 络 连接 ”里 ,把 不 需要 的 协议 和 服务 都 删 掉 ,这 里 只 安装 了 基本 的 Internet 协议 
(TCP/IP) ,同时 在 高 级 TCP/IP 设置 里 将 NetBIOS 设置 为 “禁用 TCP/IP 上 的 NetBIOS 
(S", 

(6) 启用 Windows 连接 防火 墙 , 只 开放 Web 服务 (80 端口 ) 。 

注意 : 在 Windows Server 2003 系统 里 ,不 推荐 用 TCP/IP 筛选 中 的 端口 过 滤 功 能 ， 
比如 在 使 用 FTP 服务 器 的 时 候 , 如 果 仅 仅 只 开放 21 端口 ,由 于 FTP 特有 的 Port 模式 和 
Passive 模式 ,在 进行 数据 传输 的 时 候 ,需要 动态 地 打开 高 端口 ,所 以 在 使 用 TCP/IP iti 
的 情况 下 ,经 常会 出 现 连接 上 后 无 法 列 出 目录 和 数据 传输 的 问题 。 所 以 在 2003 系统 上 增 
加 的 Windows 连接 防火 墙 能 很 好 地 解决 这 个 问题 ,所 以 不 推荐 使 用 网 卡 的 TCP/IP 过 滤 
功能 。 


2. IIS 配置 (包括 网 站 所 在 目录 ) 


CD 新 建 自己 的 网 站 (注意 : 在 应 用 程序 设置 中 执行 权限 设 为 “无 ,在 需要 的 目录 里 
再 更 改 ) ,目录 不 在 系统 盘 中 。 

注意 : 为 支持 ASP. NET, 将 系统 盘 \Inetpub\wwwroot 中 的 aspnet_client 文件 夹 复 
制 到 Web 根 目录 下 ,并 给 Web 根 目录 加 上 users 权限 。 

(2) 删 掉 系统 盘 中 的 \inetpub 目录 。 

(3) 删除 不 用 的 映射 。 

在 “应 用 程序 配置 "里 ,只 给 必要 的 脚本 (ASP、ASPX) 执 行 权 限 。 

(4) 为 网 站 创建 系统 用 户 

CD 例如 : 网 站 为 yushan43436. net ,新建 用 户 yushan43436. net 的 权限 为 guests。 然 
后 在 Web 站 点 属性 的 “目录 安全 性 ”一 “身份 验证 和 访问 控制 "里 设置 匿名 访问 的 用 户 名 
和 密码 都 使 用 yushan43436. net 这 个 用 户 的 信息 。( 用 户 名 为 “主机 名 \yushan43436. 
net"), 

@ 给 网 站 所 在 的 磁盘 目录 添加 用 户 yushan43436. net, 并 只 给 读 取 和 写 入 的 权限 。 

C) 设置 应 用 程序 及 子 目录 的 执行 权限 

CD 将 主 应 用 程序 目录 中 的 “属性 ”>“ 应 用 程序 设置 ">“ 执 行 权限 ” 设 为 纯 脚本 。 
206 


项 目 7 Window Server 系统 安全 


© 在 不 需要 执行 ASP、ASP. NET 的 子 目 录 中 ,例如 上 传 文件 目录 中 ,执行 权限 设 

(6) 应 用 程序 池 的 设置 

本 网 站 使 用 的 是 默认 应 用 程序 池 。 设 置 * 内 存 回收 ?: 这 里 的 最 大 虚拟 内 存 为 
1000MB ,最 大 使 用 的 物理 内 存 为 256MB, 这 样 的 设置 几乎 没有 限制 这 个 站 点 的 性 能 。 

回收 工作 进程 (min) : 1440, 

回收 工作 进程 的 时 间 : 06 : 00, 


3. SQL Server 2005 配置 


(1) 密码 设置 。 
(2) 删除 危险 的 扩展 存储 过 程 和 相关 . dll; Xp emdshell, Xp regaddmultistring, Xp | 
regdeletekey, Xp. regdeletevalue, Xp. regenumvalues, Xp. regread, Xp. regwrite, Xp - 


regremovemultistring, 
4. 其 他 设置 (选用 ) 


(1) 任何 用 户 密码 要 尽量 复杂 ,不 需要 的 用 户 一 律 删除 。 

(2) 防止 SYN 洪水 攻击 。 在 注册 表 的 HKEY_LOCAL_MACHINE\SYSTEM\ 
CurrentControlSet V Services V Tcpip V Parameters 项 中 新 建 DWORD 值 , 名 为 
SynAttackProtect , 值 为 2。 

(3) 禁止 响应 ICMP 路 由 通告 报 文 。 在 注册 表 的 HKEY LOCAL. MACHINEN 
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 项 中 新 建 
DWORD 值 , 名 为 PerformRouterDiscovery, 值 为 0。 

(4) 防止 ICMP 重 定向 报 文 的 攻击 。 在 注册 表 的 HKEY_LOCAL_MACHINE\ 
SYSTEMNCurrentControlSetNServicesV Tepip\ Parameters 项 中 将 EnablelCMPRedirects 
值 设 为 0。 

(5) 不 支持 IGMP 协议 。 在 注册 表 的 HKEY LOCAL. MACHINEVSYSTEMV 
CurrentControlSet\Services\ Tepip\ Parameters 项 中 新 建 DWORD 值 , 名 为 IGMPLevel， 
值 为 0。 

(6) 禁用 DCOM。 运 行 中 输入 Dcomenfg. exe, 并 按 Enter 键 , 单 击 “ 控 制 台 ” 根 节点 
下 的 “组 件 服务 ”, 打 开 “ 计 算 机 ” 子 文件 夹 。 对 于 本 地 计算 机 , 右 击 “我 的 电脑 ”, 然 后 选择 
“属性 ”命令 。 选 择 “ 默 认 属 性 ”选项 卡 ,不 选中 “在 这 台 计 算 机 上 启用 分 布 式 COM" 
选 框 。 


任务 7-7 用 SSL 保护 Web 站 点 服务 器 


1. 安装 CA 服务 器 


在 CA 服务 器 上 安装 证 书 服务 器 ,设置 证 书 颁 发 机 构 类 型 为 “独立 根 CAT ,设置 名 称 
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和 存储 位 置 。 
2. 配置 Web 服务 器 创建 证 书 


在 Web 服务 器 中 打开 US 控制 台 , 在 IIS 中 创建 证 书 ,在 “默认 网 站 属性 ”对 话 框 的 
“目录 安全 性 ”选项 卡 中 的 “身份 验证 和 访问 控制 ”选项 区 中 单 击 “编辑 ”按钮 ,如 图 7-16 所 
示 , 然 后 在 弹出 的 “使 用 Web 服务 器 证 书 向 导 ” 中 首先 选择 创建 新 的 证 书 , 接 着 在 延 时 或 
立即 请 求 中 选择 “现在 准备 请 求 ,但 稍 后 发 送 "。 在 下 一 步 中 设置 证 书 名 称 、 单 位 和 部 门 名 
称 、 站 点 的 公用 名 称 (Web 服务 器 名 )、 地 理 信息 、 证 书 请 求 文件 名 等 信息 并 完成 向 导 的 
设置 。 


图 7-16 在 IIS 中 创建 证 书 


3. 创建 证 书 链 


在 Web 服务 器 上 执行 如 下 操作 ,运行 “HTTP://CA 服务 器 FQDN/Certarv”, 在 打 
开 的 页 面 里 选择 “下 载 证 书 链 并 安装 ”。 最 后 通过 浏览 器 登录 证 书 服务 器 ,完成 高 级 证 书 
的 申请 。 


4. 配置 提交 证 书 


在 Web 服务 器 上 运行 “HTTP://CA 服务 器 FQDN/Certarv”。 在 打开 的 页 面 里 选 
择 “ 申 请 证 书 ”, 选 择 申请 类 型 为 “高 级 "。 在 高 级 证 书 申请 中 使 用 Base64 编码 的 PKCS # 
10 文件 提交 一 个 申请 ,最 后 提交 一 个 保存 的 申请 ,将 证 书 文件 (Certreq. txt) 中 的 内 容 复 
制 到 “保存 的 申请 ?中 。 


5. 证 书 颁发 


在 证 书 服务 器 上 ,打开 “证 书 颁发 机 构 ” 控 制 台 ,如 图 7-17 所 示 , 在 待定 申请 节点 中 ， 
找到 所 申请 的 证 书 并 予以 颁发 。 
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[i saga 
XP) Niko) 查看 WD SHY 


7-17 ”颁发 证 书 
6. 下 载 证 书 


在 Web 服务 器 上 执行 如 下 操作 ,运行 “HTTP://CA 服务 器 FQDNVCertarv”。 在 打 
开 的 页 面 里 选择 挂 起 的 证 书 , 如 图 7-18 所 示 , 并 下 载 。 


ET HBR - Microsoft Internet Explorer 
XPO Sup SEV KEW IAW Who 
Osmt-O-iio|P»xe cx olo «3 
it QD [8] http://192. 168.52. 1/certsrv/ 


CT 


欢迎 


使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 邮件 客户 端 或 其 他 程序 申请 一 个 证 书 。 通 过 使 用 证 书 ， 
Web 通信 的 人 确认 您 的 身份 ， 签 署 并 加 密 邮 件 ， 并 且 ， 根 据 您 申请 的 证 书 的 类 型 ， 执 行 其 他 | 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁发 机 构 (CA 证书， 证 书 链 ， 或 证 书 吊销 列表 (CRL) ， 或 查看 


E 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 


图 7-18 HERMES 
7. 安装 证 书 


在 Web 服务 器 中 打开 IIS 控制 台 , 在 IIS 中 安装 证 书 , 如 图 7-19 所 示 。 然 后 配置 站 
点 属性 一 一 服务 器 证 书 。 


8. 使 用 证 书 


在 Sever-Computer Name 中 打开 IIS 控制 台 , 在 站 点 属性 对 话 框 中 单 击 “ 目 录 安 全 
性 ”选项 卡 下 的 “安全 通信 ”选项 区 的 “编辑 ”按钮 ,然后 启用 “申请 安全 通道 (SSL)”。 


9. 测试 


在 Web 客户 端 ( 主 域 或 子 域 中 的 某 台 计算 机 ) 访 问 Web 服务 器 并 进行 测试 。 
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7-19 证 书 的 安装 


任务 7-8 禁用 注册 表 编 辑 器 


首先 打开 注册 表 , 依 次 进入 HKEY_CURRENT_USER\Software\ Policies\ Microsoft\ 
Windows\ System 项 ,在 右 侧 窗口 中 新 建 一 个 DWORD ffi Disableregistry Tools ,并 设置 其 值 
为 1。 


75 拓展 提升 Windows 系统 的 安全 模板 


安全 模板 是 一 种 ASCI 文本 文件 , 它 定义 了 本 地 权限 、 安 全 配置 .本 地 组 成 员 、 服 务 、 
文件 和 目录 授权 、 注 册 表 授权 等 方面 的 信息 。 创 建 好 安全 模板 之 后 ,我 们 只 要 一 个 命令 就 
可 以 将 它 定 义 的 信息 应 用 /部 署 到 系统 中 ,所 有 它 定义 的 安全 配置 都 立即 生效 。 原 本 需要 
数 小 时 修补 注册 表 、 使 用 管理 控制 台 * 计 算 机 管理 ”单元 以 及 其 他 管理 工具 才能 完成 的 工 
NE ,现在 只 需 数秒 就 可 以 搞定 。 


1. 安全 模板 可 以 批量 修改 的 五 类 和 安全 有 关 的 设置 


(1) 管理 组 

模板 能 够 调整 本 地 的 组 成 员 。 

(2) 调整 NTFS 权限 

安全 模板 能 够 调整 NTFS 权限 。 例 如 ,假设 我 们 想 要 授予 C:Stuff 目录 System 和 
Aministrators 完全 控制 的 NTFS 权限 ,但 禁止 任何 其 他 用 户 访问 ,使 用 模板 可 以 方便 地 
设 定 这 些 授权 和 限制 。 
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(3) 启用 和 禁用 服务 

模板 可 以 启用 或 关闭 服务 ,控制 谁 有 权 启 动 或 关闭 服务 。 
(4) 调整 注册 表 授 权 

安全 模板 允许 调整 注册 表 的 授权 。 

(5) 控制 本 地 安全 策略 的 设置 

安全 模板 能 够 控制 本 地 安全 策略 的 设置 。 


2. 创建 安全 模板 


下 面 从 实践 应 用 的 角度 介绍 模板 的 应 用 ,示范 如 何 为 工作 站 或 成 员 服 务 器 创建 一 个 
模板 ,这 个 模板 主要 包括 三 方面 的 功能 : 首先 ,该 安全 模板 能 够 控制 组 的 成 员 , 即 限制 本 
地 的 Administrators 组 只 能 由 本 地 Administrator 账户 和 域 的 Domain Admins 组 加 入 ; 
其 次 ,该 模板 将 设置 *F:adminstuff” 目 录 的 NTFS 权限 ,只 允许 本 地 的 Administrators 组 
访问 ;最 后 ,该 模板 将 禁止 Indexing 服务 。 

(1) 设置 工具 

我 们 知道 ,安全 模板 其 实 就 是 文本 文件 ,因此 从 理论 上 讲 , 我 们 可 以 用 记事 本 来 创建 
安全 模板 。 不 过 事实 上 ,用 记事 本 创建 安全 模板 的 工作 量 相 当 大 ,如 果 改 用 微软 管理 控制 
台 的 安全 模板 管理 单元 就 要 方便 多 了 。Windows XP 和 Windows 7 都 带 有 该 工具 。 

首先 打开 一 个 空 的 MMC 控制 台 。 单 击 “ 开 始 ”>“ 运 行 ”, 输 入 mmc /a, 按 Enter 键 
打开 一 个 空白 的 MMC 控制 台 。 在 该 控制 台中 , 单 击 “ 文 件 ”( 对 于 Windows 7, 单 击 “ 控 制 
台 ”) 一 “添加 /删除 管理 单元 ”, 打 开 “ 添 加 /删除 管理 单元 ”对 话 框 , 单 击 “ 添 加 ”, 打 开 “ 添 加 
独立 管理 单元 ”对 话 框 ,在 管理 单元 清单 中 选择 “安全 模板 ”, 依 次 单 击 “ 添 加 ”“ 关 闭 ”“ 确 
定 ”。 接 下 来 就 可 以 开始 设置 安全 模板 了 。 

在 控制 台 根 节点 下 面 有 一 个 安全 模板 的 图 标 一 一 一 台 加 了 锁 的 计算 机 ,如 图 7-20 所 
示 。 扩 展 该 标记 , 子 节点 显示 出 了 当前 系统 安全 模板 的 路 径 。 一 般 情况 下 ,安全 模板 位 
F% systemroot i H 3E ll security emplates 文件 夹 中 。 扩 展 该 路 径 节点 ,可 以 看 到 一 组 
预制 的 安全 模板 ;依赖 于 操作 系统 的 版 本 和 已 安装 的 Service Pack 数量 ,预制 安全 模板 的 
数量 也 可 能 不 同 。 


i 控制 台 1 IE ILE ET 
DO REO EV RRO BOW WP 
e AmB e 


安全 模板 
S C n: WINDOYS\securit 


compatws 
hiseews 
hisecde 
rootzec 
sécurade 
securers 

setup security 


图 7-20 ”安全 模板 
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单 击 任意 一 个 安全 模板 ,右边 的 窗 格 显示 出 可 以 利用 该 安全 模板 控制 的 安全 选项 
类 别 。 

CD 账户 策略 : 控制 密码 策略 、 锁 定 策略 .Kerberos 策略 。 

@ 本 地 策略 : 控制 审核 策略 、 用 户 权利 指派 ,安全 选项 。 

@ 事件 日 志 : 控制 事件 日 志 设 置 和 Windows NT 的 事件 查看 器 的 行为 。 

© 受 限制 的 组 : 控制 哪些 用 户 能 够 或 者 不 能 够 进入 各 种 本 地 组 。 

C) 系统 服务 : 启动 ,关闭 各 种 系统 服务 ,控制 哪些 用 户 有 权 修 改 系统 服务 的 启动 
方式 。 

© 注册 表 : 控制 修改 或 查看 各 个 键 值 的 权限 ,启用 键 值 的 修改 审核 功能 。 

D 文件 系统 : 控制 文件 夹 .文件 的 NTFS 授权 。 

(2) 创建 模板 

基本 知识 已 经 了 解 得 差不多 了 ,下面 就 从 头 开始 构建 一 个 模板 。 布 击 模 板 的 路 径 , 然 
后 选择 菜单 “新 加 模板 ”, 输 入 模板 的 名 称 , 假 设 是 Simple。 新 的 模板 将 在 左边 窗 格 中 作 
为 一 个 节点 列 出 ,位 于 预制 的 模板 之 下 。 下 面 作为 一 个 试验 ,让 我 们 限制 Administrators 
组 ,设置 “F;adminstuff” 的 ACL、 关 闭 Indexing 服务 。 所 有 这 些 设置 都 可 以 在 Simple 节 

首先 ,要 设置 一 下 Administrators 组 ,只 允许 本 地 的 Administrator 账户 和 域 的 
Domain Admins 组 加 入 Administrators 组 。 扩 展 左边 窗 格 中 的 Simple 节点 ,选中 “ 受 限 
制 的 组 ”。 如 果 操 作 系 统 是 Windows XP., 右 边 窗 格 会 显示 出 * 此 视图 中 没有 可 显示 的 项 
目 ”; 如 果 是 Windows 7 ,右边 窗 格 保持 空白 。 现 在 右 击 * 受 限制 的 组 节点 ,选择 菜单 “ 添 
加 组 ”, 在 新 出 现 的 对 话 框 中 单 击 “浏览 "按钮 并 找到 本 地 工作 站 或 成 员 服 务 器 的 
Administrators 组 。 

注意 : 这 里 要 加 入 的 是 本 地 的 Administrators 组 ,而 不 是 加 入 域 的 组 ;如 果 你 用 域 的 
账户 登录 工作 站 ,“ 浏 览 " 对 话 框 将 假定 你 想 要 


Adainistrators 属性 
从 域 加 入 组 (而 不 是 假定 你 要 从 工作 站 或 成 员 ER 
服务 器 的 本 地 SAM 加 入 组 )。 这 个 组 的 成 员 旭 : 

返回 “添加 成 员 ” 对 话 框 后 , 单 击 “ 确 定 ”。 | rere 一 


如 果 你 使 用 的 是 XP. 可 以 看 到 一 个 
“Administrators 属性 ”对 话 框 ;如 果 是 
Windows 7. 必须 右 击 右边 窗 格 中 的 ROMBRET D: 
Administrators ,然后 选择 * 安 全 ”命令 ,才能 打 CIERRE T HET dE. 
开 类 似 的 对 话 框 ,但 Windows 7 对 话 框 的 标题 
是 “为 Administrators 配置 成 员 ”。 
在 这 个 对 话 框 中 ,如 图 7-21 所 示 , 上 方 有 
一 个 “这 个 组 的 成 员 ” 清 单 ,下 方 有 一 个 “这 个 
组 隶属 于 ”清单 。 单 击 上 面 清单 旁边 的 “添加 ” 
按钮 ,打开 “添加 成 员 ” 对 话 框 。 图 7-21 “Administrators 属性 ”对 话 框 
接 下 来 设置 模板 的 第 二 部 分 ,使 得 任何 拥 
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有 “FF:adminstuff” 文 件 夹 的 系统 把 该 文件 夹 设置 成 只 允许 本 地 管理 员 访问 。 在 左边 窗 格 
中 右 击 “文件 系统 ”, 选 择 “ 添 加 文件 "命令 ,在 “添加 文件 或 文件 夹 ” 对 话 框 中 找到 或 者 输入 
“F:adminstuff” 目 录 。 

单 击 “ 确 定 ” 按 钮 ,出 现 一 个 标准 的 NTFS 权限 设置 对 话 框 。 现 在 删除 所 有 默认 提供 
的 授权 规则 ,加 入 对 本 地 Administrators 组 的 “完全 控制 "授权 。 

注意 : NTFS 安全 设置 对 话 框 里 还 可 以 设置 高 级 NTFS 选项 ,例如 设置 审核 功能 、 所 
有 者 权限 等 。 单 击 “确定 ”按钮 ,系统 会 询问 是 否 把 权限 设置 传播 给 所 有 子 文件 夹 和 文件 ， 
根据 需要 选择 一 个 选项 , 单 击 “ 确 定 ” 按 钮 。 

右 击 控制 台 左 边 窗 格 中 的 Simple 模板 ,选择 “保存 ”按钮 。 现 在 winntsecurity 
emplates 或 windowssecurity emplates 目录 下 有 了 一 个 Simple. inf 文件 。 


76 7J 题 


一 、 填 空 题 
1. 操作 系统 安全 的 主要 特征 有 : ` . 5 


2. 网 络 服务 器 安全 配置 的 基本 安全 策略 宗旨 是 。 


3. 在 Windows 中 可 以 使 用 命令 来 查看 端口 。 
4. 加 密 文件 系统 是 一 个 功能 强大 的 工具 ,用 于 对 和 上 的 文件 和 文 
件 夹 进行 
5. 在 各 种 各 样 的 后 门 中 ,一 般 也 不 外 平 和 三 类 。 
二 、 选 择 题 
1. 计算 机 网 络 里 最 大 的 安全 弱点 是 ( ks 
A. 网 络 木马 B. 计算 机 病毒 C. 用 户 账号 D. 网 络 连接 
2. SSL 提供 的 安全 机 制 可 以 被 采用 在 分 布 式 数据 库 的 ( ) 安 全 技术 中 。 
A. 身份 验证 B. 保密 通信 C. 访问 控制 D. 库 文 加 密 
3. 软件 漏洞 包括 如 下 几 个 方面 ,最 能 够 防治 缓冲 区 溢出 的 是 ( y. 
A. 操作 系统 .应 用 软件 B. TCP/IP 协议 
C. 数据 库 、 网 络 软件 和 服务 D. 密码 设置 
4. ( ) 是 指 有 关 管 理 、 保 护 和 发 布 敏感 消息 的 法 律 .规定 和 实施 细则 。 
A. 安全 策略 B. 安全 模型 C. 安全 框架 D. 安全 原则 


5. 终端 服务 是 Windows 操作 系统 自 带 的 .可 以 通过 图 形 界面 远程 操纵 服务 器 。 在 
默认 的 情况 下 ,终端 服务 的 端口 号 是 ( Je 
A. 25 B. 3389 C. 80 D. 1399 
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三 、 简 答题 


1. 简 述 加 密 文件 系统 EFS 的 加 密 过 程 。 

2. 简 述 端口 的 两 种 常见 的 分 类 和 组 成 。 

3. Windows 安全 模板 可 以 批量 修改 哪些 和 安全 有 关 的 设置 ? 
4. 简 述 Windows 安全 配置 有 哪些 方面 。 
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81 项 目 导 入 


防火 墙 是 一 种 隔离 控制 技术 ,由 软件 和 硬件 设备 组 合 而 成 , 它 在 某 个 机 构 的 网 络 和 不 
安全 的 网 络 之 间 设 置 屏障 ,阻止 对 信息 资源 的 非法 访问 ,也 可 以 使 用 防火 墙 阻止 重要 信息 
从 企业 的 网 络 上 被 非法 输出 。 

作为 Internet 的 安全 性 保护 软件 ,防火 墙 已 经 得 到 广泛 的 应 用 。 通 常 企 业 为 了 维护 
内 部 的 信息 系统 安全 ,在 企业 网 和 Internet 间 设 立 防火 墙 。 企业 信息 系统 对 于 来 自 
Internet 的 访问 ,采取 有 选择 的 接收 方式 。 它 可 以 允许 或 禁止 一 类 具体 的 TP 地 址 访问 ， 
也 可 以 接收 或 拒绝 TCP/IP 上 的 某 一 类 具体 的 应 用 。 如 果 在 某 一 台 IP 主机 上 有 需要 禁 
止 的 信息 或 危险 的 用 户 , 则 可 以 通过 设置 使 用 防火 墙 过 滤 掉 从 该 主机 发 出 的 包 。 如 果 一 
个 企业 只 是 使 用 Internet 的 电子 邮件 和 WWW 服务 器 向 外 部 提供 信息 ,那么 就 可 以 在 防 
火 墙 上 设置 使 得 只 有 这 两 类 应 用 的 数据 包 可 以 通过 。 这 对 于 路 由 器 来 说 ,就 要 不 仅 分 析 
IP 层 的 信息 ,而 且 还 要 进一步 了 解 TCP 传输 层 甚至 应 用 层 的 信息 以 进行 取舍 。 防 火 墙 
一 般 安装 在 路 由 器 上 以 保护 一 个 子 网 ;也 可 以 安装 在 一 台 主 机 上 ,以 便 保护 这 台 主 机 不 受 
侵犯 。 


82 职业 能 力 目 标 和 要 求 


。 通过 项 目 理解 防火 墙 的 功能 和 工作 原理 。 

。 掌握 操作 系统 内 置 互 联网 连接 防火 墙 的 配置 。 
。 掌握 天 网 防火 墙 个 人 版 的 配置 和 使 用 。 

。 灵活 运用 防火 墙 的 配置 ,保证 系统 的 安全 。 


83 相关 知识 点 


8.3.1 防火 墙 简介 


l. 防火 墙 概念 
防火 墙 技术 是 设置 在 被 保护 网 络 和 外 部 网 络 之 间 的 一 道 屏障 ,实现 网 络 的 安全 保护 ， 
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以 防止 发 生 不 可 预测 的 、 潜 在 破坏 性 的 侵入 。 防 火 墙 本 身 具 有 较 强 的 抗 攻击 能 力 , 它 是 提 
供 信息 安全 服务 .实现 网 络 和 信息 安全 的 基础 设施 。 


2. 设置 防火 墙 的 目的 和 功能 


(1) 防火 墙 是 网 络 安全 的 屏障 。 

(2) 防火 墙 可 以 强化 网 络 安全 策略 。 
(3) 对 网 络 存 取 和 访问 进行 监控 审计 。 
(4) 防止 内 部 信息 的 外 泄 。 


3. 防火 墙 的 局 限 性 


(1) 防火 墙 防 外 不 防 内 。 

(2) 防火 墙 难于 管理 和 配置 , 易 造 成 安全 漏洞 。 

(3) 很 难为 用 户 在 防火 墙 内 外 提供 一 致 的 安全 策略 。 
(4) 防火 墙 只 实现 了 粗 粒 度 的 访问 控制 。 


8.3.2 防火 墙 的 实现 技术 


1. 包 过 滤 技术 


包 过 滤 是 防火 墙 的 最 基本 过 滤 技 术 , 它 对 内 外 网 之 间 传 输 的 数据 包 按照 某 些 特征 事 
先 设置 一 系列 的 安全 规则 进行 过 滤 或 筛选 。 包 过 滤 防 火 墙 检 查 每 一 条 规则 直至 发 现 数据 
包 中 的 信息 与 某 些 规则 能 符合 , 则 允许 或 拒绝 这 个 数据 包 穿 过 防火 墙 进行 传输 。 如 果 没 
有 一 条 规则 能 符合 , 则 防火 墙 使 用 默认 规则 ,一 般 情况 下 要 求 丢 包 。 

包 过 滤 防 火 墙 可 视 为 一 种 IP 封包 过 滤器 ,运作 在 底层 的 TCP/IP 协议 栈 上 ,我 们 可 
以 以 枚 举 的 方式 ,只 允许 符合 特定 规则 的 封包 通过 ,其 余 的 一 概 禁止 穿越 防火 墙 , 这 些 规 
则 通常 可 以 经 由 管理 员 定 义 或 修改 ,不 过 某 些 防火 墙 设备 只 能 套用 内 置 的 规则 。 我 们 也 
能 以 另 一 种 较 宽松 的 角度 来 制定 防火 墙 规 则 ,只 要 封包 不 符合 任何 一 项 “否定 规则 ”就 予 
以 放行 。 较 新 的 防火 墙 能 利用 封包 的 多 样 属性 来 进行 过 滤 , 例 如 : 源 IP 地 址 、 源 端口 号 、 
目的 IP 地 址 ,目的 端口 号 .服务 类 型 ,通信 协议 .TTL 值 , 来 源 的 网 络 或 网 段 等 属性 , 包 过 
滤 技 术 防 火 墙 原 理 如 图 8-1 所 示 。 


AAA IP 


TCP 只 检查 报头 


开始 攻击 


8-1 包 过 滤 防 火 墙 原理 示意 
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2. 应 用 级 网 关 


应 用 级 网 关 即 为 代理 服务 器 。 代 理 服务 器 通常 运行 在 两 个 网 络 之 间 , 它 为 内 部 网 的 
客户 提供 HTTP、FTP 等 某 些 特 定 的 互联 网 服务 。 代 理 服务 器 相对 于 内 部 网 的 客户 来 说 
是 一 台 服 务 器 ,对 于 外 部 网 的 服务 器 来 说 它 又 相当 于 客户 机 。 当 代理 服务 器 接收 到 内 部 
网 的 客户 对 某 些 互 联网 站 点 的 访问 请 求 后 ,首先 会 检查 该 请 求 是 否 符合 事先 制定 的 安全 
规则 ,如 果 允 许 , 代 理 服 务 器 会 将 此 请 求 发 送 给 互联 网 站 点 ,从 互联 网 站 点 反馈 回 的 响应 
信息 再 由 代理 服务 器 转发 给 内 部 网 的 客户 。 代 理 服务 器 会 将 内 部 网 的 客户 和 互联 网 
隔离 。 

对 于 内 外 网 转发 的 数据 包 , 代 理 服务 器 在 应 用 层 对 这 些 数据 进行 安全 过 滤 , 而 包 过 滤 
技术 与 NAT 技术 主要 在 网 络 层 和 传输 层 进行 过 滤 。 由 于 代理 服务 器 在 应 用 层 对 不 同 的 
应 用 服务 进行 过 滤 , 所 以 可 以 对 常用 的 高 层 协议 做 更 细 的 控制 。 

由 于 安全 级 网 关 不 允许 用 户 直 接 访 问 网 络 , 因 而 使 效率 降低 ,而 且 安 全 级 网 关 需 要 对 
每 一 个 特定 的 因特网 服务 安装 相应 的 代理 服务 软件 ,内 部 网 的 客户 要 安装 此 软件 的 客户 
端 软件 ,此 外 ,并 非 所 有 的 因特网 应 用 服务 都 可 以 使 用 代理 服务 器 。 应 用 级 网 关 技 术 防 火 
墙 原理 如 图 8-2 所 示 。 


x 

E 

Bt 
niu 


只 检查 数据 


图 8-2 应 用 级 网 关 防火 墙 原理 示意 


3. 状态 检测 技术 


状态 检测 防火 墙 不 仅仅 像 包 过 滤 防 火 墙 仅 考查 数据 包 的 IP 地 址 等 几 个 孤立 的 信息 ， 
而 是 增加 了 对 数据 包 连 接 状 态 变化 的 额外 考虑 。 它 在 防火 墙 的 核心 部 分 建立 数据 的 连接 
状态 表 , 将 在 内 外 网 间 传 输 的 数据 包 以 会 话 角度 进行 检测 ,利用 状态 表 跟踪 每 一 个 会 话 
例如 , 某 个 内 网 主机 访问 外 网 的 连接 请 求 , 防 火 墙 会 在 连接 状态 表 中 加 以 标注 , 当 此 
连接 请 求 的 外 网 响应 数据 包 返 回 时 ,防火 墙 会 将 数据 包 的 各 层 信 息 和 连接 状态 表 中 记录 
的 从 内 网 到 外 网 每 天 信息 相 匹 配 ,如 果 从 外 网 进入 内 网 的 这 个 数据 包 和 连接 状态 表 中 的 
某 个 记录 在 各 层 状态 信息 一 一 对 应 ,防火 墙 则 判断 此 数据 包 是 外 网 正常 返回 的 响应 数据 
包 , 会 允许 这 个 数据 包 通 过 防火 墙 进入 内 网 。 按 照 这 个 原则 ,防火 墙 将 允许 从 外 部 响应 此 
请 求 的 数据 包 以 及 随后 两 台 主 机 间 传 输 的 数据 包 通 过 ,直到 连接 中 断 ,而 对 由 外 部 发 起 的 
企图 连接 内 部 主机 的 数据 包 全 部 丢弃 ,因此 状态 检测 防火 墙 提供 了 完整 的 对 传输 层 的 控 
制 能 力 。 
状态 检测 防火 墙 对 每 一 个 会 话 的 记录 、 分 析 工 作 可 能 会 造成 网 络 连接 的 迟滞 , 当 存在 
大 量 安全 规则 时 尤为 明显 ,采用 硬件 实现 方式 可 有 效 改善 这 方面 的 缺陷 。 状 态 检测 防火 
217 


网 络 安全 实用 项 目 教程 


TCP 只 检查 报头 
开始 攻击 | 
建立 连 
接 状 态 表 


8-3 状态 检测 防火 墙 示意 


8.3.3 天 网 防火 墙 


根据 防火 墙 保护 的 对 象 不 同 ,防火 墙 可 分 为 网 络 防火 墙 和 主机 防火 墙 。 主 机 防火 墙 
也 称 为 个 人 防火 墙 或 单机 防火 墙 , 它 主要 对 主机 系统 进行 全 面 的 防护 。 

天 网 防火 墙 个 人 版 是 主机 防火 墙 , 是 一 款 软 件 防火 墙 。 它 根据 系统 管理 者 设 定 的 安 
全 规则 ,可 以 提供 访问 控制 .应 用 选 通 、 信 息 过 滤 等 功能 ,可 以 防范 网 络 入 侵 和 攻击 ,防止 
信息 泄露 。 

天 网 防火 墙 提供 的 主要 功能 包括 以 下 方面 。 

CD 对 访问 请 求 的 实时 监控 功能 ; 

(2) 可 灵活 设置 IP 安全 规则 ; 

(3) 提供 应 用 程序 访问 网 络 权 限 设置 功能 ,对 应 用 程序 数据 包 进 行 底层 分 析 拦 截 ; 

(4) 全 面 的 日 志 记 录 功 能 ; 

(5) 完善 的 声音 报警 功能 。 


84 项 目 实 施 


任务 8-1 简易 防火 墙 配置 


本 任务 使 用 IPSec 来 完成 。 下 面 介 绍 Windows 7 中 使 用 IPSec 来 实现 简易 防火 墙 的 
方法 。 


1. 创建 IPSec 筛选 器 列表 


(1) 单 击 “开始 ”一 运行", 输 入 mmec, 打 开 * 控 制 台 1”, 如 图 8-4 所 示 。 

(2) 在 “控制 台 1” 中 , 单 击 “ 文 件 ”>“ 添 加 /删除 管理 单元 ”命令 ,如 图 8-5 所 示 。 

G) 在 如 图 8-6 所 示 的 “添加 /删除 管理 单元 ”对 话 框 的 “可 用 的 管理 单元 ”列表 中 选 
TEUIP 安全 策略 管理 ”选项 , 单 击 “ 添 加 ”按钮 。 在 弹出 对 话 框 中 选择 计算 机 或 域 , 单 击 “ 完 
成 ”按钮 ,如 图 8-7 所 示 。 
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lam O SFA EEV 收藏 夫 (Q) SOW EAH i-e 
es MEB m 
(mE 名 称 
此 视图 中 没有 可 显示 的 项 目 . 
图 8-4 控制 台 1 


FIFO). 
保存 (S) 
BEA. 


EIVERE)... 


ERP). 
1 CAWindows\system32\secpol.msc 
2 CAWindows\.\certmgr.msc 
3 CAWindows\-\perfmon.msc 
4 CAWindows\.\services.msc 


85 控制 台 操作 


AU REI EANAN 73 S869 组 管理 单元 ” 对 于 可 扩展 8 管理 单元 ， 您 可 以 配置 要 启用 


| 本 用 的 管理 单元 @) : 所 选 管理 单元 E) 
管理 单元 供应 商 国 控制 台 根 节点 
Activex 控件 Microsoft 

EESLI Microsoft 
罚 荆 安全 监视 器 Microsoft 


Microsoft 


Microsoft 


Microsoft 
Microsoft 


Microsoft 
Microsoft 
Microsoft 
Microsoft 
Microsoft 


mt 
Internet 协议 安全 性 OPsec) 管理 。 为 与 别 的 计算 机 进行 安全 通讯 管理 IPsec 策略 * 


8-6 “添加 /删除 管理 单元 ”对 话 框 
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选择 这 个 管理 单元 要 管理 的 计算 机 或 域 
当 保 存 这 个 控制 台 时 ， 也 会 保存 位 置 * 


回 [D 
运行 此 控制 台 的 计算 机 
O 此 计算 机 是 其 成 员 的 Active Directory IQ 


O 另 一 个 Active Directory 域 用 完整 DNS 名 称 或 IF 地 址 ) QD: 


目 另 - 台 计 算 机 中 : 


JEA 


图 8-7 选择 计算 机 或 域 


(4) 单 击 “确定 ”按钮 ,返回 “控制 台 1”, 完 成 “IP 安全 策略 ,在 本 地 计算 机 ?的 设置 ,如 
图 8-8 所 示 。 


收藏 天 (O) BOW 帮助) 
e 9wI[ms!Hm 
BESE 名 称 
Sy 中 安全 第 略 , 在 本 地 计算 机 Sio 安全 第 路, 在 本 地 计算 机 


图 8-8 ”完成 “IP 安全 策略 ,在 本 地 计算 机 ”的 设置 


2. 添加 IP 筛选 器 表 


在 本 机 中 添加 一 个 能 对 指定 IP(192. 168. 1. 112) 进 行 筛 选 的 筛选 器 表 。 

CD 右 击 “控制 台 1” 左 窗 格 中 的 “IP 安全 策略 ,在 本 地 计算 机 ”, 然 后 单 击 “管理 IP fi 
选 器 列表 和 筛选 器 操作 ”命令 , 如 图 8-9 所 示 ,出 现 * 管 理 IP 筛选 器 列表 和 筛选 器 操作 ” 
对 话 框 。 

(2) 单 击 “管理 IP 筛选 器 列表 和 筛选 器 操作 ”对 话 框 中 的 “管理 TP 筛选 器 列表 ?选项 
卡 ,如 图 8-10 所 示 ,然后 单 击 * 添 加 ?按钮 .出现 *IP 筛选 器 列表 ”对 话 框 。 

(3) 在 打开 的 “IP 筛选 器 列表 ”对 话 框 中 输入 IP 筛选 器 的 名 称 和 描述 ,如 “名 称 ” 为 
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e» 202e BTA 
国 控制 台 根 节点 k 
NYI a 


EIP i 


EIR r AASIA E 


所 有 Ip 安全 策略 者 共享 这 些 可 用 的 IP AER 


IP 季 选 器 列表 DD 
名 称 


355...) | 编辑 下 ) [ mo 
Cw) 


图 8-10 管理 IP 筛选 器 列表 和 筛选 器 操作 


“屏蔽 特定 IP”,“ 描 述 ” 为 屏蔽 192. 168. 1. 112”, 并 且 不 选择 “使 用 “添加 向 导 '” 复 选 框 ,如 
图 8-11 所 示 。 单 击 “ 添 加 ”按钮 ,出 现 “ 筛 选 器 属性 ”对 话 框 ,可 对 “屏蔽 特定 IP” 进 行 设置 。 

(4) 在 “IP 筛选 器 属性 ”对 话 框 中 选择 “地 址 ”选项 卡 , 在 “ 源 地 址 ”和 “目标 地 址 ”下 拉 
列表 框 中 分 别 选 择 “ 我 的 IP 地 址 ”和 “一 个 特定 的 IP 地 址 或 子 网 ”选项 。 当 选择 “一 个 特 
定 的 IP 地 址 或 子 网 ”时 ,会 出 现 “IP 地 址 或 子 网 ”文本 框 ,可 输入 要 屏蔽 的 IP 地 址 ,如 
192. 168. 1. 112 ,如 图 8-12 所 示 。 

(5) 在 “IP 筛选 器 属性 ”对 话 框 的 “协议 ”选项 卡 中 选择 协议 类 型 及 设置 IP 协议 端 
口 ,如 图 8-13 所 示 。 

(6) 在 “IP 筛选 器 属性 ”对 话 框 的 “描述 ”选项 卡 的 “描述 ”文本 框 中 输入 描述 文字 , 作 
为 筛选 器 的 详细 描述 ,如 图 8-14 所 示 。 单 击 “ 确 定 ” 按 钮 ,返回 到 “IP 筛选 器 列表 "对话 框 ， 
“屏蔽 特定 IP” 被 填 人 了 筛选 器 列表 。 
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BRR192. 168.1. 112 ^ [mim 
- [wo 
mrt. Fem xima" 四 


ae dt 


目标 地 址 @) 
一 个 特定 的 Ip 地 址 或 子 网 


IP 地 址 或 子 网 @@)- 192. 168.1.112 


国 和 镜像 @)。 与 源 地 址 和 目标 地 址 正好 相反 的 数据 包 相 匹 配 * 


取消 


8-12 “IP 筛选 器 属性 ”的 “地 址 ”标签 


a | 协议 
选择 协议 类 型 企 ) 
ICE = - 

E | 协议 _| E 
[ 
Pope 为 此 IP SORTMÉEE— D EMGBEBED. 
设置 IP DO 

e 从 任意 端口 EE) 


© Aiii qo: Li 
] FRENAR 


FSO 
© RIHO (0) 


图 8-13 "IP 筛选 器 属性 ”的 “协议 ”标签 8-14 "IP 筛选 器 属性 ”对 话 框 的 “描述 ”标签 
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3. 添加 IP 筛选 器 动作 


在 添加 IP 筛选 器 表 中 只 添加 了 一 个 表 , 它 没有 防火 墙 功能 ,只 有 再 加 入 动作 后 才能 
发 挥 作用 。 下 面 将 建立 一 个 “阻止 ?动作 ,通过 动作 与 刚才 建立 的 列表 相 结合 ,就 可 以 屏蔽 
指定 的 IP 地 址 。 

CD 在 “控制 台 1” 窗 口 的 “控制 台 根 节点 ”中 选择 “IP 安全 策略 ,在 本 地 机 器 ?选项 并 
右 击 ,选择 “管理 IP 筛选 器 表 和 筛选 器 操作 ”命令 ,进入 “管理 IP 筛选 器 表 和 筛选 器 操作 ” 
对 话 框 。 

(2) 在 “管理 TP. 筛选 器 表 和 筛选 器 操作 ”对 话 框 的 “管理 IP 筛选 器 列表 ”选项 卡 中 选 
择 * 屏 项 特定 IP” 选 项 ,如 图 8-15 所 示 。 然 后 在 “管理 筛选 器 操作 ”选项 卡 中 单 击 * 添 加 ” 按 
钮 ,如 图 8-16 所 示 ;出现 “新 筛选 器 操作 属性 ”对 话 框 ,如 图 8-17 Bron 。 


ji PÀ ETE IP 
LEIII 7105 [ER AEE] ESR 


网 汪 EX 的 IP jh JE GE KOnR HOUR ONER ENAR 


x 
z 
E 


所 有 IF 安全 第 略 都 共享 这 些 可 用 的 IP 节选 器 列表 * 所 有 Ip 安全 策略 共享 可 用 的 入 选 器 操作 * 


IP 稍 选 器 列表 D 条 选 器 操作 O 
名 称 名 称 


[IJ NIENTE 


wO) o) mecum 


Lx .)[ m | GERO) 


8-15 “管理 IP 筛选 器 列表 ”选项 卡 8-16 “管理 筛选 器 操作 ”选项 卡 


(3) 在 “新 筛选 器 操作 属性 ”对 话 框 的 “安全 方法 "选项 中 选择 “阻止 " 单 选 按钮 ,如 
图 8-17 所 示 。 在 “常规 ”选项 卡 中 ,“ 名 称 ” 文 本 框 中 输入 “阻止 ", 如 图 8-18 所 示 。 
(4) 单 击 “ 确 定 ” 按 钮 “阻止? 加 入 到 “筛选 器 操作 ”列表 中 ,如 图 8-19 所 示 。 


4. 创建 IP 安全 策略 


筛选 器 表 和 筛选 器 动作 已 建立 完成 ,下 面 任务 中 将 把 它们 结合 起 来 以 便 发 挥 防火 墙 
的 作用 。 

CD 在 “控制 台 1” 窗 口 的 “控制 台 根 节点 ”中 选择 “IP 安全 策略 ,在 本 地 机 器 ?选项 并 
右 击 ,选择 “创建 IP 安全 策略 ”命令 ,如 图 8-20 所 示 ,出现 “IP 安全 策略 向 导 ” 对 话 框 。 

(2) 在 “IP 安全 策略 向 导 ” 对 话 框 的 “名 称 ”文本 框 中 输入 “我 的 安全 策略 ”, 在 “描述 ” 
文本 框 中 输入 对 安全 策略 设置 的 描述 ,如 图 8-21 所 示 。 单 击 “ 下 一 步 ” 按 钮 ,出 现 “ 安 全 通 
信 请 求 ”" 对 话 框 。 
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安全 方法 [RR E 
omw 
eR hg ussimecue Censos 
各 协商 去 全 中 
安全 方法 首选 顺序 D 

类 型 ax ] E 

mu 


Hiv: 


| ， 


] 接 受 不 安全 的 通讯 ,但 始终 用 IPsec 响应 C) 
口 如 果 无 法 建立 安全 连接 ， 则 允许 回 退 到 不 安全 的 通信 他) 


口 使 用 会 话 密 钥 完全 向 前 保密 P) W 


847. “安全 方法 ”选项 卡 8-18 “常规 "选项 卡 


TE e Aae OEE 
X YEER OEHREN eng 


所 有 IF 安全 策略 共享 可 用 的 入 选 器 操作 。 


ETE 


(xm .)( wá RS QU 


8-19 ”筛选 器 操作 为 “阻止 


a 
x 


BAO Ges SEN ESO) ELO) Mi) 上 
€ 929 sis!Hr s: 
加 控制 台 根 节点 EE mut SEMNE. 


is 


创建 IP RERO. 中 没有 可 显示 的 项 目 。 
管理 IP ESRR)... 


图 8-20 创建 IP 安全 策略 
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名 称 
命名 这 个 IP 安全 第 略 并 且 给 出 一 个 简短 的 描述 


RW: 

我 9 安全 第 略 
Hw: 
FRIKE 


图 8-21 IP 安全 策略 名 称 


(3) 在 该 对 话 框 中 取消 选择 “激活 默认 响应 规则 ” 复 选 框 ,如 图 8-22 所 示 , 单 击 “ 下 一 
步 ” 按 钮 。 


安全 通信 请 求 
指定 这 个 策略 如 何 对 安全 通讯 的 请 求 作出 响应 * 


e E MEAE ean A 


at 仅 在 运行 Windows 2003 和 Windows XP 的 计算 机 上 支持 默认 响应 规 


8-22 ”安全 通信 请 求 


(4) 在 “正在 完成 IP 安全 策略 向 导 ” 对 话 框 中 选择 “编辑 属性 ” 复 选 框 , 单 击 “ 完 成 ” 按 
钮 ,如 图 8-23 所 示 。 

(5) 在 “我 的 安全 策略 属性 ”对 话 框 的 “规则 ”选项 卡 中 单 击 “ 添 加 ”按钮 ,如 图 8-24 
所 示 。 

(6) 在 出 现 “ 新 规则 属性 ”对 话 框 的 “IP 筛选 器 列表 ”选项 卡 中 选择 “屏蔽 特定 IP” 单 
选 按 钮 ,如 图 8-25 所 示 。 在 “筛选 器 操作 ”选项 卡 中 选择 “阻止 ” 单 选 按钮 ,如 图 8-26 所 
示 , 单 击 “ 确 定 ” 按 钮 ,返回 上 一 级 对 话 框 ,新 规则 已 建立 。 
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正在 完成 IP 安全 策略 向 导 


您 已 成 功 地 完成 指定 您 的 新 IP 安全 策略 的 属性 * 


要 I RERE, At “REME” E 


TARRE Q7 


车 要 关闭 此 向 导 ， 请 单 击 “完成 ”。 


8-23 正在 完成 IP 安全 策略 向 导 


au [mi Ir ARDUR aibi [ 身份 验证 方法 | 隧道 设置 | 连接 类 型 


sa 和 其 他 计算 机 通讯 的 安全 规则 fao Ib 筛选 器 列表 指定 了 哪个 网 络 流 里 将 受 此 规则 


IP 安全 规则 D IP 筛选 器 列表 D 
BE rd s rad 身份 验证 方法 隧 | 名 称 
DE MAAR (RF... Kerberos e| LIXCNCNNIG 


We] gs e FMD.) (iiia...) ( NR OD 


取消 


图 8-24 “我 的 安全 策略 属性 ”对 话 框 图 8-25 "IP 筛选 器 列表 ”选项 卡 


PITT REGE 
X [5507 M sud 


Lords] 


名 称 Hit 
et | 


re ngega 
= CER.) 


图 8-26 “筛选 器 操作 ?选项 卡 
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(7) 在 “控制 台 1 ”窗口 中 刚 建立 的 “我 的 安全 策略 规则 上 右 击 ,选择 “分 配 ” 命 令 ,如 
图 8-27 所 示 。 屏 项 特定 IP 地 址 的 操作 即 完成 。 


u Besse — 
入 IP 安全 第 略 , 在 本 地 计算 机 


图 8-27 指派 策略 


最 后 ,可 以 通过 ping 192. 168. 1. 112 主机 来 验证 防火 墙 。 
任务 8-2 天 网 防火 增 的 使 用 


1. 天 网 防火 墙 个 人 版 的 安装 
CD 运行 安装 程序 ,开始 安装 天 网 防火 墙 个 人 版 ,如 图 8-28 所 示 。 


zu 7 E 


wins pcc 
HT su 


TEACHTWOidi0 SOAIO NMBA RSR. qm 


e 


天 
网 
防 
R 
ua) 
个 
PS 
I5 


P A 


B 
© 
网 
e 
£3 
会 
的 


下 - 步 吕 取消 
8-28 天 网 防火 墙 协议 


(2) 下 拉 列 表 中 显示 的 是 安装 软件 必须 遵守 的 协议 ,选择 “我 接受 此 协议 " 复 选 框 。 
如 果 不 选择 该 复 选 框 , 则 无 法 进行 下 一 步 安装 。 单 击 “ 下 一 步 ”按钮 ,进入 继续 安装 界面 ， 
如 图 8-29 所 示 。 

(3) 单 击 “ 浏 览 ” 按 钮 ,在 弹出 的 对 话 框 中 选择 安装 的 路 径 ( 也 可 以 使 用 其 默认 路 径 
C:\Program files\SkyNet\FireWall) , 单 击 “ 下 一 步 ” 按 钮 ,如 图 8-30 所 示 。 再 单 击 “下 一 
步 ” 按 钮 ,开始 安装 ,如 图 8-31 所 示 。 最 后 单 击 “ 完 成 ”按钮 ,完成 安装 。 
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A 选择 安装 的 目标 文件 夫 区 
RE ed 
M c ct 


Ey rr Dd 


三 目标 文件 下 一 
C:\Program Files\SkyNet\Firewall — jM]... 


«x-sm[rczwr] wa | 
图 8-29 天 网 防火 墙 安装 路 径 


A 选择 程序 管理 器 程序 组 


mn 0.0.1015 图 标的 


| 天 网 防火 墙 试用 版 v3.0.0.1015 


< t-m [rE] 取消 


图 8-30 选择 程序 管理 器 程序 组 


B 


当前 文件 一 一 一 


人 


WEBEEHEHEHBSSHEEEHEHSE 
ELI 
MRNA 0 分 o 


图 8-31 开始 安装 


COD 天 网 防火 墙 个 人 版 安装 完成 后 ,系统 会 自动 弹出 天 网 防火 墙 个 人 设置 向 导 , 如 
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图 8-32 所 示 。 单 击 “ 下 一 步 ” 按 钮 ,根据 自己 的 需要 ,进行 防火 墙 安 全 级 别 设置 (默认 为 中 
级 ) ,如 图 8-33 所 示 。 


天 网 防火 区 设置 向 导 


欢迎 您 使 用 天 网 防火 墙 设 置 向 导 


. 工人 个 功能 完善 的 防火 墙 系统 ， 仅 仅 是 您 的 网 络 安全 的 基本 保 
证 。 设置 好 并 灵活 使 用 一 个 防火 墙 条 统 才 是 网 络 安全 的 关键 。 


re exam 
so S ISSESER URS mEsUMeE 


SKYNET 


图 8-32 天 网 防火 墙 个 人 设置 向 导 


天 网 防火 培 设 置 向 导 
安全 级 别 设置 
际遇 了 本 认 江 让 了 几 个 安全 级 刚 的 规则 ， 您 可 以 根据 您 的 实 A 
geli d FENA ARERR, EEA 


a T EN 
5. 


t 共享 服务 ) 但 茜 止 忆 联 网 上 的 机 器 访问 这 些 | 
To iu 供 服务 的 


E mr d CEDE 

HTTP, 等 ) 。 
+ 享 服务 。 San HE. depen 
PES RT ATA dnd 
RON 
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放 
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可 
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LU 
我 


"B >32 


m 


8-33 防火墙 安全 级 别 的 设置 
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(5) 单 击 “ 下 一 步 ” 按 钮 ,进行 局 域 网 信息 设置 。 如 果 本 机 不 在 局 域 网 中 ,可 以 直接 跳 
过 ,车 要 在 局 域 网 中 使 用 本 机 , 则 需 正 确 设置 本 机 在 局 域 网 中 的 TP 地 址 ,如 图 8-34 所 示 。 
单 击 “下 一 步 ?按钮 ,进行 常用 应 用 程序 设置 ,一 般 可 以 用 默认 选择 ,如 图 8-35 所 示 。 
天 网 防火 区 设置 向 导 
局 域 网 信息 设置 


如 果 您 的 机 器 是 在 局 域 网 中 使 用 , Tap PUE 


IP, M wr 
您 在 | 
A W 


如 果 您 不 在 局 域 网 中 ， 请 跳 过 此 步 。 


如 果 您 在 局 域 网 中 使 用 ， 请 在 【我 的 电脑 在 局 域 网 中 使 用 】 
DAEN PORRO? LXXX 


xxx 或 Edo 
LES Se AEAEE 


Te 开机 的 时 候 自动 尼 动 防火 寺 
万 我 的 电脑 在 局 域 网 中 使 用 
我 在 局 域 网 中 的 地 址 是 ， [192.168.1 .109 — 


SKYNET 


LF T— 取消 


图 8-34 ”局域网 信息 的 设置 


天 网 防火 雯 设置 向 导 
常用 应 用 程序 设置 
木马 ma fS Oe: 意 的 人 可 以 
Make EEIT PRATE SEDE £558. AS 
7 Ad ihe 序 的 功能 ， 它 SOR FRAR 
络 时 和 警告 并 
3o Vindows, AE 的 网 络 程序 
您 可 以 在 这 里 预先 设 | St A 


在 您 的 电脑 中 找到 | 访问 网 络 的 程序 如 下 。 您 可 
mts pos rq VERAS TRI RR. 


回 Services and Controller app 

回 LSA Executable and Server DLL (Export Version) 
回 Spooler SubSystem App 

Ed vinlogon. exe 

Generic Host Process for Vin32 Services 

FI PFWLiveUpdate. EXE 

< 


路 径 ， C: WINDOWSVsystenS2 services. exe 
描述 。 Windows 操作 系统 的 服务 和 控制 程序 . 


SKYNET 


[CE ERZ 


图 8-35 常用 应 用 程序 的 设置 
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(6) 最 后 , 单 击 “结束 ”按钮 ,完成 向 导 的 设置 ,如 图 8-36 所 示 。 完 成 天 网 防火 墙 个 人 
版 设置 后 ,系统 会 自动 弹出 重启 计算 机 提示 ,如 图 8-37 所 示 , 单 击 “ 确 定 ” 按 钮 可 重启 计 
算 机 。 


天 网 防火 墙 个 人 版 设置 向 导 e 


向 导 设置 完成 


天 网 防火 墙 个 人 版 设置 向 导 已 经 完成 ， 按 结束 键 保存 设 
置 并 且 退 出 . 


RN 


SKYNET 


3B" DRR, PENA 
ce a] 
图 8-37 重启 计算 机 提示 


2. 天 网 防火 墙 个 人 版 的 使 用 设置 


使 用 防火 墙 的 关键 是 用 户 是 否 了 解 配置 规则 ,并 进行 合理 地 配置 。 以 下 介绍 天 网 防 
火 墙 的 设置 技巧 。 

(1) 系统 设置 

系统 设置 有 启动 .规则 设 定 .应 用 程序 权限 、 局 域 网 地 址 设 定 、 其 他 设置 几 个 方面 ,如 
图 8-38 所 示 。 

CD 启动 一 项 是 设 定 开机 后 自动 启动 防火 墙 。 在 默认 情况 下 不 启动 ,我 们 一 般 选 择 自 
动 启动 ,这 也 是 安装 防火 墙 的 目的 。 

© 规则 设 定 是 个 设置 向 导 , 可 以 分 别 设置 安全 级 别 、 局 域 网 信息 设置 .常用 应 用 程序 
设置 。 
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图 8-38 天 网 防火 墙 系统 设置 


@ 局 域 网 地 址 设 定 和 其 他 设置 用 户 可 以 根据 网 络 环境 和 爱好 自由 设置 。 

(2) 安全 级 别 设置 

天 网 防火 墙 的 安全 级 别 分 为 高 .中 、 低 、 自 定义 四 类 ,如 图 8-39 所 示 。 把 鼠标 光标 置 
于 某 个 级 别 上 时 ,可 从 注释 对 话 框 中 查看 详细 说 明 。 


RLI: 自 定义 


eel RAE RIS RR a EA 
NT 


Sub Bs oe CRISE RUTRU. 


图 8-39. 天 网 防火 墙 安全 级 别 


CD 低 安 全 级 别 情况 下 完全 信任 局 域 网 ,允许 局 域 网 中 的 机 器 访问 自己 提供 的 各 种 服 
务 , 但 禁止 互联 网 上 的 机 器 访问 这 些 服务 。 

@ 中 安全 级 别 下 局 域 网 中 的 机 器 只 可 以 访问 共享 服务 ,但 不 允许 访问 其 他 服务 ,也 
不 允许 互联 网 中 的 机 器 访问 这 些 服务 ,同时 运行 动态 规则 管理 。 

@ 高 安全 级 别 下 系统 屏蔽 掉 所 有 向 外 的 端口 ,局域网 和 互联 网 中 的 机 器 都 不 能 访问 
自己 提供 的 网 络 共享 服务 ,网 络 中 的 任何 机 器 都 不 能 查找 到 该 机 器 的 存在 。 

(D 自 定义 级 别 适合 了 解 TCP/IP 协议 的 用 户 ,可 以 设置 IP 规则 ,而 如 果 规 则 设置 不 
正确 ,可 能 会 导致 不 能 访问 网 络 。 

对 于 一 般 个 人 用 户 ,推荐 将 安全 级 别 设置 为 中 级 。 这 样 可 以 在 已 经 存在 一 定 规则 的 
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情况 下 对 网 络 进行 动态 的 管理 。 

(3) 应 用 程序 访问 网 络 权限 设置 

当 有 新 的 应 用 程序 访问 网 络 时 ,防火 墙 会 弹出 警告 对 话 框 ,询问 是 否 允 许 访问 网 络 ， 
如 图 8-40 所 示 。 

为 保险 起 见 , 对 用 户 不 熟悉 的 程序 都 可 以 设 为 禁止 访问 网 络 。 在 “应 用 程序 规则 ” 选 
项 中 ,如 图 8-41 所 示 ,还 可 以 设置 该 应 用 程序 是 通过 TCP 还 是 UDP 协议 访问 网 络 , 以 及 
TCP 协议 可 以 访问 的 端口 , 当 不 符合 条 件 时 ,程序 将 询问 用 户 或 禁止 操作 。 对 已 经 允许 
访问 网 络 的 程序 下 一 次 访问 网 络 时 , 按 默认 规则 管理 。 


图 8-40 防火墙 警 告 对 话 框 图 8-41 应 用 程序 规则 


(4) 自 定义 IP 规则 设置 
在 选中 “中 级 ”安全 级 别 时 ,进行 自 定义 IP 规则 的 设置 是 很 有 必要 的 。 在 这 一 项 设置 
中 ,如 图 8-42 BER ,可 以 自行 添加 、 编 辑 、 删 除 IP 规则 ,对 防御 和 人 侵 可 以 起 到 很 好 的 效果 。 


任务 8-3. 天 网 防火 墙 规则 的 设置 


1. 规则 导入 


对 于 对 IP 规则 不 其 精通, 并且 也 不 想 去 了 解 这 方面 内 容 的 用 户 ,可 以 通过 下 载 天 网 
或 其 他 网 友 提供 的 安全 规则 库 , 如 图 8-43 所 示 , 通 过 “导入 ”工具 按钮 将 其 导入 到 程序 中 。 


2. IP 规则 


卫 规 则 的 设置 分 为 规则 名 称 的 设 定 , 规 则 的 说 明 ,数据 包 方向 ,对 方 IP 地 址 ,如 图 8-44 
所 示 。 对 于 该 规则 IP.TCP.UDP ICMP IGMP 协议 需要 做 出 的 设置 . 当 满 足 上 述 条 件 
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E Ee Le Le 


Le ls Le Le Le Le Le 


图 8-42 防火墙 IP 规则 管理 


"üs uar? 


图 8-43. 天 网 防火 墙 规则 导入 图 8-44 IP 规则 


时 ,会 确定 对 数据 包 的 处 理 方式 ,对 数据 包 是 否 进行 记录 等 。 如 果 IP 规则 设置 不 当 , 天 网 
防火 墙 的 警告 标志 就 会 闪烁 不 停 ,而 如 果 正 确 地 设置 了 1IP 规则 , 则 既 可 以 起 到 保护 计算 
机 安全 的 作用 ,又 可 以 不 必 时 时 去 关注 警告 信息 。 
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3. 禁止 ping 命令 探测 计算 机 

用 ping 命令 探测 计算 机 是 否 在 线 是 黑客 经 常 使 用 的 方式 ,因此 要 防止 别人 用 ping 
探测 。 下 面 对 规 则 的 设置 方法 进行 详细 介绍 。 

(1) 添加 规则 前 ,通过 另 一 台 计 算 机 来 ping 本 机 ,如 图 8-45 所 示 ,将 结果 记录 下 来 。 


图 8-45 ping 192. 168. 1. 109 
(2) 单 击 “IP 规则 管理 器 ”, 进 入“* 自 定义 规则 ”列表 。 
G) 在 自 定义 规则 的 工具 栏 中 单 击 “ 增 加 规则 ”按钮 .如 图 8-46 所 示 , 进 入 “增加 IP 规 
则 ”对 话 框 ,并 填写 对 数据 包 的 处 理 条 件 ,如 图 8-47 所 示 , 单 击 “ 确 定 ” 按 钮 ,完成 规则 的 
添加 。 


= 


图 8-46 ” 自 定 义 规则 工具 栏 
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| 国 nonet 
规则 

S Ein 
说 明 | 


数据 包 方向 : [DER C] 
ELE 
到 ER | 


ssamen: [r 加 | 
"ir 
IE 


类 型 和 代码 为 255 时 ， 不 作为 条 件 


当 满足 上 面条 件 时 


图 8-47 增加 IP 规则 


(4) 通过 另 一 台 计 算 机 再 次 ping 本 机 ,防火 墙 将 会 屏蔽 这 个 请 求 ,如 图 8-48 所 示 。 


:ping 192.168.1.199 


图 8-48 再 次 ping 192. 168. 1. 109 


(5) 打开 “日 志 ”, 查 看 日 志 记 录 来 验证 结果 ,如 图 8-49 所 示 。 应 仔细 观察 防火 墙 日 
志 , 了 解 记录 的 格式 和 含义 。 


4. 禁止 特定 IP 地 址 的 FTP 连接 


添加 一 条 禁止 邻近 主机 连接 本 地 计算 机 FTP 服务 器 的 安全 规则 ,如 图 8-50 所 示 。 
可 自己 完成 并 向 邻近 主机 发 起 FTP 请 求 连接 ,观察 结果 。 
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8-49 ”防火 墙 日 志 


85 7J 题 

一 、 填 空 题 

1. IPSec 的 中 文 译 名 是 o 

2. 是 一 种 网 络 安全 保障 技术 , 它 用 于 增强 内 部 网 络 安全 性 ,决定 外 界 的 哪 
些 用 户 可 以 访问 内 部 的 哪些 服务 ,以 及 哪些 外 部 站 点 可 以 被 内 部 人 员 访 问 。 

3. 常见 的 防火 墙 有 3 种 类 型 : \ 应 用 代理 防火 墙 和 状态 检测 防火 墙 。 

4. 防火 墙 按 组 成 组 件 分 为 和 

5. 包 过 滤 防 火 墙 的 过 滤 规 则 基于 o 

二 、 选 择 题 


l. 防火 墙 技术 可 以 分 为 ( O ) 等 3 大 类 型 ,防火 墙 系统 通常 由 ( @ OAR. 
止 不 希望 的 未 经 授权 的 信息 进入 被 保护 的 内 部 网 络 , 是 一 种 ( OD ) 网 络 安全 措施 。 
O A. 包 过 滤 、 入 侵 检 测 和 数据 加 密 B. 包 过 滤 、 入 侵 检 测 和 应 用 代理 
C. 包 过 滤 、 应 用 代理 和 入 侵 检测 D. 包 过 滤 、 状 态 监测 和 应 用 代理 
© A. 杀 病毒 卡 和 杀 病 毒 软件 B. 代理 服务 器 和 入 侵 检 测 系统 
C. 过 滤 路 由 器 和 入 侵 检 测 系统 D. 过 滤 路 由 器 和 代理 服务 器 
237 


网 络 安全 实用 项 目 教程 


2. 


(0) 


3. 


4. 


5. 


6. 


© A. 被动 的 B. 主动 的 

C. 能 够 防止 内 部 犯罪 的 D. 能 够 解决 所 有 问题 的 
防火 墙 是 建立 在 内 外 网 络 边界 上 的 一 类 安全 保护 机 制 ,其 安全 构架 基于 
) 一 般 作 为 代理 服务 器 的 堡垒 主机 上 装 有 ( O ) ,其 上 运行 的 是 ( 加 )。 


O A. 流 量 控制 技术 B. 加 密 技术 
C. 信息 流 填 充 技术 D. 访问 控制 技术 

Q A. 一 块 钱 网 卡 且 有 一 个 IP 地 址 B. 两 个 网 卡 且 有 两 个 不 同 的 IP 地 址 
C. 两 个 网 卡 且 有 相同 的 TP 地 址 D. 多 个 网 卡 且 动态 获得 IP 地 址 

@ A. 代理 服务 器 软件 B. 网 络 操作 系统 
C. 数据 库 管理 系统 D. 应 用 软件 

以 下 不 属于 Windows 2000 中 的 IPSec 过 滤 行 为 的 是 ( Jia 

A. 允许 B. 阻塞 C. 协商 D. 证 书 


以 下 关于 防火 墙 的 设计 原则 说 法 正确 的 是 ( Js 

A. 保持 设计 的 简单 性 

B. 不 仅 要 提供 防火 墙 的 功能 ,还 要 尽量 使 用 较 大 的 组 件 

C. 保留 尽 可 能 多 的 服务 和 守护 进程 ,从 而 能 提供 更 多 的 网 络 服务 

D. 一 套 防 火 墙 就 可 以 保护 全 部 的 网 络 

下 列 关于 防火 墙 的 说 法 正确 的 是 ( Ja 

A. 防火 墙 的 安全 性 能 是 根据 系统 安全 的 要 求 而 设置 的 

B. 防火 墙 的 安全 性 能 是 一 致 的 ,一 般 没 有 级 别 之 分 

C. 防火 墙 不 能 把 内 部 网 络 隔离 为 可 信任 网 络 

D. 一 个 防火 墙 是 只 能 用 来 对 两 个 网 络 之 间 的 访问 实行 强制 性 管理 的 安全 系统 
为 确保 企业 局 域 网 的 信息 安全 ,防止 来 自 Internet 的 黑客 入 侵 , 采 用 ( ) 可 以 


实现 一 定 的 防范 作用 。 
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4 
5 


A. 网 络 管理 软件 B. 邮件 列表 C. 防火 墙 D. 防 病毒 软件 
( ) 不 是 防火 墙 的 功能 。 

A. 过 滤 进 出 网 络 的 数据 包 B. 保护 储存 数据 安全 

C. 封 堵 某 些 禁止 的 访问 行为 D. 记录 通过 防火 墙 的 信息 内 容 和 活动 
、 简 答题 


什么 是 防火 墙 ? 请 简 述 防火 墙 的 必要 性 。 

防火 墙 的 主要 作用 是 什么 ? 它 有 哪些 局 限 性 ? 

简 述 包 过 滤 防 火 墙 的 工作 原理 。 

防火 墙 按照 技术 划分 可 分 成 几 类 ? 

什么 是 IPSec? IPSec 提供 了 哪 几 种 保护 数据 传输 的 形式 ? 


项 目 9 无 线 局 域 网 安全 


91 项 目 导 入 


随 着 无 线 技术 运用 的 日 益 广泛 ,无 线 网 络 的 安全 问题 越 来 越 受到 人 们 的 关注 。 通 常 
网 络 的 安全 性 主要 体现 在 访问 控制 和 数据 加 密 两 个 方面 。 访 问 控制 保证 敏感 数据 只 能 由 
授权 用 户 进 行 访问 ,而 数据 加 密 则 保证 发 射 的 数据 只 能 被 所 期 望 的 用 户 接受 和 理解 。 对 
于 有 线 网 络 来 说 ,访问 控制 往往 以 物理 端口 接 入 方式 进行 监控 , 它 的 数据 输出 通过 电缆 传 
输 到 特定 的 目的 地 ,一般 情况 下 ,只 有 在 物理 链 路 遭 到 破坏 的 情况 下 ,数据 才 有 可 能 被 汇 
露 ,而 无 线 网 络 的 数据 传输 则 是 利用 微波 在 空气 中 进行 辐射 传播 ,因此 只 要 在 Access 
Point 覆盖 的 范围 内 ,所 有 的 无 线 终端 都 可 以 接收 到 无 线 信号 ,AP 无 法 将 无 线 信号 定向 
到 一 个 特定 的 接收 设备 ,因此 无 线 的 安全 保密 问题 就 显得 尤为 突出 。 

无 线 局 域 网 在 带 来 巨大 应 用 便利 的 同时 ,也 存在 许多 安全 上 的 问题 。 由 于 局 域 网 通 
过 开放 人 性 的 无 线 传输 线路 传输 高 速 数 据 , 很 多 有 线 网 络 中 的 安全 策略 在 无 线 方式 下 不 再 
适用 ,在 无 线 发 射 装置 功率 覆盖 的 范围 内 任何 接 入 用 户 均 可 接收 到 数据 信息 ,而 将 发 射 功 
率 对 准 某 一 特定 用 户 在 实际 中 难以 实现 。 这 种 开放 性 的 数据 传输 方式 在 带 来 灵 便 的 同时 
也 带 来 了 安全 性 方面 的 新 的 挑战 。 


92 职业 能 力 目 标 和 要 求 


。 掌握 无 线 网 络 安全 防范 。 

。 掌握 无 线 局 域 网 常见 的 攻击 。 
。 掌握 WEP 协议 的 威胁 。 

。 掌握 无 线 安全 机 制 。 


93 相关 知识 点 


9.3.1 无 线 网 络 概述 


无 线 局 域 网 是 于 1990 年 出 现在 现实 生活 中 的 。 当 它 出 现时 ,就 有 人 预言 完全 取消 
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电缆 和 线路 连接 方式 的 时 代 即 将 来 临 。 目 前 , 随 着 无 线 网 络 技术 的 日 趋 完善 和 无 线 网 络 
产品 价格 的 持续 下 调 ,无 线 局 域 网 的 应 用 范围 也 迅速 扩展 。 过 去 ,无 线 LAN 仅 限 于 工厂 
和 仓库 使 用 ,现在 已 进入 办 公 室 、 家 庭 , 乃 至 其 他 公共 场所 。 

无 线 局 域 网 是 指 以 无 线 信 道 作 传输 媒介 的 计算 机 局 域 网 (Wireless Local Area 
Network,WLAN)。 它 是 无 线 通 信 、 计 算 机 网 络 技术 相 结合 的 产物 ,是 有 线 联 网 方式 的 重 
要 补充 和 延伸 ,并 逐渐 成 为 计算 机 网 络 中 一 个 至 关 重要 的 组 成 部 分 。 

目前 ,无 线 通信 一 般 有 两 种 传输 手段 , 即 无 线 电波 和 光波 。 无 线 电波 包括 短波 、 超 短 
波 和 微波 。 光 波 指 激光 、 红 外 线 。 

短波 、 超 短波 类 似 电台 或 电视 台 广 播 采用 的 调幅 、 调 频 或 调 相 的 载波 ,通信 距离 可 达 
数 十 公里 。 这 种 通信 方式 速率 慢 \、 保 密 性 差 \, 易 受 干扰 、 可 靠 性 差 ,一 般 不 用 于 无 线 局 域 
网 。 激 光 、 红 外 线 由 于 易 受 天 气 影响 ,不 具备 穿 透 的 能 力 ,在 无 线 局 域 网 中 一 般 不 用 。 

因此 ,微波 是 无 线 局 域 网 通信 传输 媒介 的 最 佳 选择 。 目 前 ,使 用 微波 作 传输 介质 通常 
以 扩 频 方式 传输 信号 。 这 种 扩 频 通信 最 早 始 于 军事 通信 ,由 于 扩 频 通信 在 提高 信号 接收 
质量 , 抗 干 扰 、 保 密 性 、 增 加 系统 容量 方面 都 有 突出 的 优点 , 扩 频 通信 迅速 地 在 民用 、 商 用 
通信 和 领域 普及 开 来 。 在 国内 ,近年 来 扩 频 通信 技术 已 经 应 用 于 室内 局 域 网 互联 和 室外 城 
域 网 互 连 等 领域 。 


9.3.2 Wi-Fi 在 全 球 范围 迅速 发 展 的 趋势 


无 线 局 域 网 (WLAN) 作 为 一 种 能 够 帮助 移动 人 群 保持 网 络 连 接 的 技术 ,在 全 球 范围 
内 受到 来 自 多 个 领域 用 户 的 支持 ,目前 已 经 获得 迅猛 发 展 。 无 线 局 域 网 (WLAN) 的 发 展 
主要 从 公共 热点 (在 公共 场所 部 署 的 无 线 局 域 网 环境 ) 和 企业 组 织 机 构 内 部 架设 两 个 方向 
铺 开 。 世 界 范 围 内 的 公共 无 线 局 域 网 (WLAN) 热 点 数量 三 年 增加 近 60 倍 。 据 IDC 预 
测 ,到 2004 年 全 球 的 WLAN 用 户 将 达到 2460 万 , 比 2002 年 增长 近 十 倍 ;2002 年 销售 的 
全 部 笔记 本 电脑 中 只 有 1.0% 支 持 WLAN;2005 年 , 售 出 的 笔记 本 电脑 中 将 有 80% 具 备 
无 线 支持 能 力 。 

在 亚太 区 ,这 一 发 展 势头 同样 强劲 。 市 场 调查 公司 指出 ,公共 无 线 局 域 网 (WLAN) 
服务 在 亚太 地 区 将 保持 强劲 的 发 展 势 关 。 至 少 在 澳大利亚 、 中 国 香港 .日 本 、 新 加 坡 、 韩 国 
和 中 国 台湾 这 六 大 市 场 ,热点 的 数量 在 迅速 增加 。2002 年 亚太 地 区 只 有 1. 6 万 个 热点 ， 
预计 到 2007 年 ,热点 的 数量 将 接近 3.8 万。 

在 企业 、 学 校 等 组 织 机 构 内 部 ,笔记 本 电脑 的 普及 也 带动 了 无 线 局 域 网 (WLAN) 的 
普及 。 

以 英特尔 公司 为 例 ,全 球 79000 名 员工 中 有 65% 以 上 的 人 使 用 笔记 本 电脑 ,其 中 
80% 以 上 的 办 公 室 都 部 署 了 无 线 局 域 网 (WLAN) ,英特尔 围绕 具备 无 线 能 力 的 笔记 本 电 
脑 如 何 改 变 其 员工 的 生活 习惯 和 工作 效率 进行 了 调查 ,结果 表明 ,员工 的 工作 效率 平均 每 
周 提高 了 两 小 时 以 上 , 远 远 超过 了 所 花费 的 升级 成 本 ,而 且 完 成 一 般 办 公 室 任务 的 速度 提 
高 了 37%。 此 外 ,无 线 移 动 性 还 迅速 改变 了 员工 的 工作 方式 ,使 其 能 够 更 加 灵活 自主 地 
安排 自己 的 工作 。 
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9.3.3 无 线 局 束 网 常见 的 攻击 


由 于 无 线 局 域 网 采用 公共 的 电磁 波 作为 载体 ,电磁 波 能 够 穿 过 天 花 板 、 玻 璃 .楼 层 、 
砖 . 墙 等 物体 ,因此 在 一 个 无 线 局 域 网 接 人 点 (Access Point) 所 服务 的 区 域 中 ,任何 一 个 无 
线 客 户 端 都 可 以 接收 到 此 接 人 点 的 电磁 波 信号 ,这样 就 可 能 包括 一 些 恶意 用 户 也 能 接收 
到 其 他 无 线 数据 信号 。 这 样 恶 意 用 户 在 无 线 局 域 网 中 相对 于 在 有 线 局 域 网 当中 去 窃听 或 
干扰 信息 就 容易 得 多 。 

WLAN 所 面临 的 安全 威胁 主要 有 以 下 几 类 。 


1. 网 络 窃听 


一 般 说 来 ,大 多 数 网 络 通信 都 是 以 明文 ( 非 加 密 ) 格 式 出 现 的 ,这 就 会 使 处 于 无 线 信号 
覆盖 范围 之 内 的 攻击 者 可 以 乘机 监视 并 破解 ( 读 取 ) 通 信 。 这 类 攻击 是 企业 管理 员 面临 的 
最 大 安全 问题 。 如 果 没 有 基于 加 密 的 强 有 力 的 安全 服务 ,数据 就 很 容易 在 空气 中 传输 时 
被 他 人 读 取 并 利用 。 


2. AP 中 间 人 欺骗 


在 没有 足够 的 安全 防范 措施 的 情况 下 ,是 很 容易 受到 利用 非法 AP 进行 的 中 间 人 欺 
骗 攻 击 。 解 决 这 种 攻击 的 通常 做 法 是 采用 双向 认证 方法 ( 即 网 络 认 证 用 户 , 同 时 用 户 也 认 
证 网 络 ) 和 基于 应 用 层 的 加 密 认 证 (如 HTTPS 十 Web)。 


3. WEP 破解 


现在 互联 网 上 存在 一 些 程序 ,能够 捕捉 位 于 AP 信和 号 覆盖 区 域内 的 数据 包 , 收 集 到 足 
够 的 WEP 弱 密 钥 加 密 的 包 , 并 进行 分 析 以 恢复 WEP 密 钥 。 根 据 监 听 无 线 通 信 的 机 器 速 
E WLAN 内 发 射 信号 的 无 线 主 机 数量 ,以 及 由 于 IEEE 802. 1.1. 标准 帧 冲突 引起 的 TV 
重 发 数量 ,最 快 可 以 在 两 个 小 时 内 攻破 WEP 密 钥 。 


4. MAC 地 址 欺骗 


即使 AP 使 用 了 MAC 地 址 过 滤 ,使 未 授权 的 黑客 的 无 线 网 卡 不 能 连接 AP, 这 并 不 
意味 着 能 阻止 黑客 进行 无 线 信 号 侦 听 。 通 过 某 些 软件 分 析 截 获 的 数据 ,能 够 获得 AP fè 
许 通信 的 STA MAC 地 址 ,这 样 黑客 就 能 利用 MAC 地 址 伪装 等 手段 和 人 侵 网 络 了 。 


9.3.4 WEP 协议 的 威胁 


下 面 介 绍 无 线 网 络 中 的 WEP 密 钥 。 
相对 于 有 线 网 络 来 说 ,通过 无 线 网 络 发 送 和 接收 数据 更 容易 被 窃听 。 在 IEEE 802. 1. 1. 
标准 中 采用 了 WEP(Wired Equivalent Privacy,; 有 线 对 等 保密 ) 协 议 来 设置 专门 的 安全 机 
制 ,WEP 是 建立 在 RC4 流 密码 机 制 上 的 协议 ,并 使 用 CRC-32 算法 进行 数据 验 和 校正 ， 
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从 而 确保 数据 在 无 线 网 络 中 的 传输 完整 性 。RC4 流 密码 机 制 的 目的 在 于 对 无 线 环 境 中 
的 数据 进行 加 密 , 从 而 使 数据 在 传递 过 程 中 不 被 窃听 和 破解 。 它 采用 对 称 加 密 机 理 , 即 数 
据 的 加 密 和 解密 采用 相同 的 密 钥 和 加 密 算法 ,WEP 使 用 加 密 密 钥 ( 也 称 为 WEP 密 钥 )， 
如 图 9-1 所 示 。 


原文 


11011 


初始 向 量 [ 密 钥 ac, | 上 0 


初始 向 量 | EX 


[11110 
初始 向 最 [e | -| na L9] 


图 9-1 WEP 工作 流程 


WEP 支 持 64 位 和 1. 28 位 加 密 , 对 于 64 位 加 密 , 加 密 密 钥 为 1. 0 个 十 六 进 制 字 符 
或 5 个 ASCII 字符 ;对 于 1. 28 位 加 密 , 加 密 密 钥 为 26 个 十 六 进 制 字符 或 1. 3 个 ASCII 
字符 。 依 赖 通信 双方 共享 的 密 钥 来 保护 所 传 的 加 密 数 据 帧 。 其 数据 的 加 密 过 程 如 下 。 


1. 计算 校 验 和 (Check Summing) 


CD 对 输入 数据 进行 CRC-32 完整 性 校 验 和 计算 。 
(2) 把 输入 数据 和 计算 得 到 的 校 验 和 组 合 起 来 得 到 新 的 加 密 数据 ,也 称 为 明文 ,明文 
作为 下 一 步 加 密 过 程 的 输入 数据 。 


2. 加 密 


在 这 个 过 程 中 ,将 第 一 步 得 到 的 数据 明文 采用 RC4 算法 加 密 。 对 明文 的 加 密 有 两 层 
含义 : 明文 数据 的 加 密 , 保 护 未 经 认证 的 数据 。 

CD 将 24 位 的 初始 化 向 量 和 40 位 的 密 钥 连接 并 进行 校 验 和 计算 ,最终 得 到 64 位 的 
数据 。 

(2) 将 64 位 的 数据 输入 到 基于 RCA 流 密码 算法 的 虚拟 随机 数 产 生 器 中 , 它 用 于 初 
始 化 向 量 和 密 钥 的 校 验 以 及 加 密 计算 。 

G) 经 过 校 验 和 计算 的 明文 与 虚拟 随机 数 产生 器 的 输出 密 钥 流 进 行 按 位 异 或 运算 得 
到 加 密 后 的 信息 , 即 密 文 。 
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3. 传输 
将 初始 向 量 和 密 文 串 接 起 来 ,得 到 要 传输 的 加 密 数 据 帧 ,并 在 无 线 网 络 上 传输 。 
4. 解密 过 程 


CD 恢复 初始 明文 。 重 新 产生 密 钥 流 , 将 其 与 接收 到 的 密 文 信息 进行 异 或 运算 ,以 恢 
复 初始 明文 信息 。 

(2) 检验 校 验 和 。 接 收 方 依照 恢复 的 明文 信息 来 检验 校 验 和 ,将 恢复 的 明文 信息 进 
行 分 离 , 重 新 计算 校 验 和 ,并 检查 它 是 否 与 接收 到 的 校 验 和 相 匹 配 。 这 样 即 确保 只 有 正确 
校 验 和 的 数据 帧 才 会 被 接收 方 接受 ,并 获取 无 线 网 络 中 的 数据 。 


9.3.5 WEP 缺陷 


WEP 密 钥 缺陷 主要 源 于 三 个 方面 。 
1. WEP 帧 的 数据 负载 


由 于 WEP 加 密 算 法 实际 上 是 利用 RC4 流 密码 算法 作为 伪 随 机 数 产生 器 ,并 由 初始 
HEM WEP 密 钥 组 合 而 生成 WEP 密 钥 流 ,再 将 该 密 钥 流 与 WEP 帧 的 数据 负载 进行 异 
或 运算 来 实现 加 密 运 算 。RC4 流 密码 算法 是 将 输入 密 钥 进行 某 种 置换 和 组 合 运算 来 生 
成 WEP 密 钥 流 。 由 于 WEP 帧 的 数据 负载 的 第 一 个 字 节 是 逻辑 链 路 控制 的 802. 2 头 信 
息 ,这 个 头 信息 对 于 每 个 WEP 帧 的 数据 都 是 相同 的 ,攻击 者 很 容易 猜测 ,利用 猜 的 第 一 
个 明文 字 节 和 WEP 帧 的 数据 负载 密 文 即 可 通过 异 或 运算 得 到 伪 随 机 数 发 生 器 生成 的 密 
钥 流 中 的 第 一 个 字 节 。 


2. CRC-32 算法 在 WEP 中 的 缺陷 


在 802.1.1. b 协 议 中 是 允许 初始 向 量 被 重复 多 次 使 用 ,这 就 构成 了 恶意 攻击 者 充分 
利用 CRC-32 算法 在 WEP 中 的 缺陷 进行 数据 窃听 和 攻击 。 

于 WEP 而 言 ,CRC-32 算法 的 作用 在 于 对 数据 进行 完整 性 校 验 。 但 是 CRC-32 的 校 
验 和 并 不 是 WEP 中 的 加 密 函 数 , 它 只 是 负责 检查 原文 是 否 完整 。 也 就 是 说 在 整个 过 程 
中 ,恶意 的 攻击 者 可 以 截获 CRC-32 数据 明文 ,可 重 构 自 己 的 加 密 数 据 并 结合 初始 向 量 一 
起 发 给 接受 者 。 


3. 在 WEP 过 程 中 ,无 身份 验证 机 制 


恶意 攻击 者 通过 简单 的 手段 就 可 以 实现 与 无 线 局 网 客户 端的 伪 链 接 。 可 获取 相应 的 
异 或 文件 ,并 通过 CRC-32 进行 完整 性 校 验 ,从 而 攻击 者 能 用 异 或 文件 伪造 ARP 包 , 然 后 
依靠 这 个 包 去 捕获 无 线 局 网 中 的 大 量 有 效 数 据 。 
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9.3.6 基于 WEP 密 钥 缺 陷 引 发 的 攻击 


目前 针对 WEP 密 钥 缺陷 引发 的 攻击 ,可 大 致 分 为 两 类 。 
1. 被 动 无 线 网 络 窃听 ,破解 WEP 密码 


这 种 攻击 模式 的 主要 特征 在 于 ,在 无 线 网 络 中 进行 大 量 的 数据 窃听 ,收集 到 足够 多 的 
有 效 数 据 帧 ,并 利用 这 些 信 息 对 WEP 密码 进行 还 原 。 从 这 个 数据 帧 里 攻击 者 可 以 提取 
初始 向 量 值 和 密 文 。 对 应 明文 的 第 一 个 字 节 是 逻辑 链 路 控制 的 802. 2 头 信息 。 通 过 这 一 
个 字 节 的 明文 和 密 文 ,攻击 者 做 异 或 运算 就 能 得 到 一 个 字 节 的 WEP 密 钥 流 , 由 于 RC4 流 
密码 产生 算法 只 是 把 原来 的 密码 打 乱 次 序 ,攻击 者 获得 的 这 一 字 节 的 密码 仅 是 初始 向 量 
和 密码 的 一 部 分 。 但 由 于 RC4 的 打 乱 ,攻击 者 并 不 知道 这 一 个 字 节 具体 的 位 置 和 排列 次 
序 。 但 当 攻 击 者 收集 到 足够 多 的 初始 向 量 值 和 密码 之 后 ,就 可 以 进行 统计 并 分 析 运 算 。 
利用 上 面 的 密码 碎片 重新 排序 ,最 终 利 用 得 到 的 密码 碎片 进行 正确 的 顺序 排列 ,从 而 分 析 
出 WEP 的 密码 。 


2. ARP 请 求 攻击 模式 


ARP 请 求 攻击 模式 为 攻击 者 抓 取 合 法 无 线 局 网 客户 端的 数据 请 求 包 。 如 果 截 获 到 
合法 客户 端 发 给 无 线 访问 接 入 点 的 ARP. 请 求 包 ,攻击 者 便 会 向 无 线 访问 接 入 点 重 发 
ARP 包 。 由 于 802.1.1. b 允许 初始 向 量 值 重复 使 用 ,所 以 无 线 访问 接 入 点 接 到 这 样 的 
ARP 请 求 后 就 会 自动 回复 到 攻击 者 的 客户 端 ,这 样 攻击 者 就 能 搜集 到 更 多 的 初始 向 量 
值 。 当 捕捉 到 足够 多 的 初始 向 量 值 , 就 可 以 进行 被 动 无 线 网 络 窃 听 并 进行 WEP 密码 破 
解 。 但 当 攻 击 者 没 办 法 获取 ARP 请 求 时 ,其 通常 采用 的 模式 即使 用 ARP 数据 包 欺 骗 ， 
让 合法 的 客户 端 和 无 线 访问 接 入 点 断 线 , 然 后 在 其 重新 连接 的 过 程 中 截获 ARP 请 求 包 ， 
从 而 完成 WEP 密码 的 破解 。 


9.3.7 对 应 决策 


目前 针对 WEP 密 钥 的 破解 技术 和 相应 工具 已 经 相当 成 熟 。 通 过 互联 网 搜索 引擎 可 
以 找到 大 量 的 相关 信息 ,使 得 任意 一 个 用 户 都 可 能 成 为 恶意 攻击 者 ,并 对 使 用 WEP 密 钥 
的 无 线 网 络 造 成 威胁 。 

为 此 越 来 越 多 的 用 户 开 始 转 向 于 使 用 WPA 加 密 方 案 , 但 是 由 于 其 完整 的 WPA 实 
现 比较 复杂 ,操作 过 程 较为 困难 (微软 针对 这 些 设置 过 程 还 专门 开设 了 一 门 认证 课程 ) ,一 
般 用 户 不 容易 掌握 。 对 于 企业 和 政府 来 说 ,很 多 设备 和 客户 端 并 不 支持 WPA ,最 重要 的 
是 TKIP( 暂 时 密 钥 集 成 协议 ) 加 密 并 不 能 满足 一 些 更 高 要 求 的 加 密 需 求 ,还 需要 更 高 的 
加 密 方 式 , 所 以 WPA 的 使 用 出 现 了 较 多 的 问题 。 同 时 公认 为 较为 安全 的 WPA 加 密 方 
案 的 破解 技术 也 已 经 出 现 , 仅 因为 目前 计算 机 运算 速度 等 多 方面 的 原因 ,使 得 破解 WPA 
加 密 许 花费 大 量 的 时 间 。 但 我 们 可 以 预见 的 是 : 在 不 久之 后 WPA 加 密 方案 也 会 如 WEP 
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加 密 一 样 脆弱 。 

当今 比较 成 熟 的 无 线 网 络 安全 方案 通常 不 仅仅 局 限于 一 种 安全 策略 的 方案 。 这 是 源 
于 其 单一 策略 的 功能 局 限 性 。 此 处 我 们 提出 了 安全 策略 组 (图 9-2) 的 概念 。 根 据 这 些 策 
略 自身 的 特点 可 以 构建 出 一 个 安全 的 无 线 环 境 。 


隐藏 SSID 
无 线 访问 接 入 点 隔离 


MAC 过 滤 MAC 地 址 双向 绑 定 


AES 加 密 
TRUE FALSE 


U y 


Pass Block 
9-2 无 线 网 络 安全 策略 组 


1. 隐藏 SSID 策略 


SSID, 即 Service Set Identifier 的 简称 ,让 无 线 客户 端 对 不 同 无 线 网 络 的 识别 ,客户 
端 只 有 收 到 这 个 参数 或 者 手动 设 定 与 无 线 访问 接 入 点 相同 的 SSID 才能 连接 到 无 线 网 
络 。SSID 策略 可 以 保障 在 当前 网 络 中 的 无 线 信道 中 的 数据 不 被 窃听 ,从 而 保障 了 对 应 的 
无 线 网 络 密码 安全 。 这 一 策略 为 无 线 网 络 策略 组 的 第 一 步 , 仅 当 通过 这 一 策略 之 后 ,才能 
进入 到 无 线 访问 接 人 点 隔离 阶段 。 


2. 无 线 访问 接 入 点 隔离 策略 


无 线 访问 接 人 点 隔离 策略 类 似 于 有 线 网 络 的 VLAN ,即将 所 有 的 无 线 客户 端 设备 完 
全 隔离 ,使 其 只 能 访问 无 线 访问 接 入 点 连接 的 固定 网 络 。 不 同 的 VLAN 之 间 不 能 直接 通 
信 , 从 而 降低 了 无 线 接 入 点 被 恶意 攻击 者 攻击 的 概率 。 当 无 线 用 户 接 入 点 进入 到 访问 接 
和 点 隔离 策略 阶段 时 ,根据 各 自 的 接 和 人 交换 机 将 会 被 自动 划分 到 相应 的 VLAN 上 。 划 分 
完毕 之 后 ,策略 组 就 自动 对 各 个 接 入 点 进行 第 三 步 策略 判断 。 


3. MAC 地 址 策略 


在 这 一 策略 中 包含 两 个 详细 的 规则 。 
(D MAC 地 址 过 滤 。 这 种 方式 就 是 通过 对 无 线 访问 接 人 点 的 设 定 , 将 指定 的 无 线 网 
卡 的 物理 MAC 地 址 输入 到 无 线 访问 接 入 点 中 。 而 访问 接 入 点 对 收 到 的 每 个 数据 包 都 会 
做 出 判断 ,只 有 符合 设 定 标 准 的 才能 被 转发 ,否则 将 会 被 丢弃 。 这 样 就 从 很 大 程度 上 保障 
了 非 当 前 的 无 线 网 络 中 注册 的 计算 机 不 能 登录 网 络 。 
(2) MAC 地 址 双向 绑 定 策略 ,MAC 地 址 双向 绑 定 的 方法 多 用 于 企业 内 部 针对 ARP 
欺骗 病毒 进行 防御 ,不 过 对 于 伪造 MAC 地 址 非法 入 侵 无 线 网 络 来 说 同样 奏效 。 其 从 根 
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本 上 防御 无 线 网 络 中 的 ARP 请 求 攻击 。 在 这 一 策略 过 程 中 , 仅 当 接 入 点 设备 满足 如 上 
两 个 详细 规则 后 ,才能 进行 最 终 的 无 线 通 信 , 并 在 通信 的 过 程 中 使 用 AES 加 密 策略 。 


4. AES 加 密 策略 


AES 加 密 策 略 是 整个 策略 组 中 最 重要 的 策略 ,虽然 上 面 的 几 种 策略 能 从 一 定 策略 上 
保障 整个 网 络 的 安全 。 但 是 为 了 更 为 有 效 地 确保 网 络 安全 ,AES 加 密 策略 成 为 整个 策略 
组 的 核心 部 分 。 

AES 加 密 作 为 一 种 全 新 加 密 标 准 , 其 加 密 算 法 采用 对 称 块 加 密 技 术 ,提供 比 WEP 中 
RC4 算法 更 高 的 加 密 性 能 ,是 密码 学 中 的 高 级 加 密 标 准 (Advanced Encryption Standard， 
AES) ,又 称 Rijndael 加 密 法 。 尽 管 人 们 对 AES 还 有 不 同 的 看 法 ,但 总 体 来 说 ,AES 作为 
新 一 代 的 数据 加 密 标准 汇集 了 强 安全 性 、 高 性 能 、 高 效率 、 易 用 和 灵活 等 优点 。 这 个 标准 
已 经 替代 了 原先 的 DES, 被 多 方 分 析 且 广 为 全 世界 所 使 用 。 经 过 五 年 的 甄选 流程 ,高 级 
加 密 标准 由 美国 国家 标准 与 技术 研究 院 (NIST) 于 2001 年 11 月 26 日 发 布 ,并 在 2002 年 
5 月 26 日 成 为 有 效 的 标准 。2006 年 ,高 级 加 密 标准 已 成 为 对 称 密 钥 加 密 中 最 流行 的 算法 
之 一 。 仅 当 通 过 安全 策略 组 时 , 接 入 点 才能 正常 地 进行 网 络 信息 通信 。 

上 面 四 种 安全 策略 构建 的 无 线 网 络 策略 组 ,其 中 分 别 从 VLAN, MAC 两 个 方面 来 降 
低 无 线 接 和 人 点 被 恶意 攻击 的 风险 。 隐 藏 SSID 策略 则 降低 了 接 入 点 信息 被 窃听 的 风险 。 
其 安全 系数 已 经 完全 能 够 抵御 大 多 数 无 线 网 络 攻 击 ,并 保证 其 正常 工作 以 及 无 线 接 人 点 
的 各 个 用 户 数据 的 安全 。 


9.3.8 无 线 安 全 机 制 


由 于 无 线 网 络 没有 网 线 的 束缚 ,任何 在 无 线 网 络 范围 之 中 的 无 线 设备 都 可 搜索 到 无 
线 网 络 ,并 可 共享 连接 无 线 网 络 ; 这 就 对 我 们 的 网 络 和 数据 造成 了 安全 问题 ,如 何 解决 这 
种 不 安全 因素 呢 ? 这 就 需要 对 无 线 网 络 进行 安全 设置 ,详细 过 程 及 步骤 如 下 。 

无 络 网 络 安全 设置 只 要 从 路 由 器 中 设置 即 可 ,现在 路 由 器 大 多 是 使 用 Web 设置 方 
法 ,因此 从 浏览 器 地 址 栏 中 输入 路 由 器 的 IP 地 址 , 即 可 进入 路 由 器 设置 环境 

对 路 由 器 无 线 安全 设置 可 通过 取消 SSID 广播 (无 线 网 络 服务 用 于 身份 验证 的 ID 
号 ,只 有 SSID 号 相同 的 无 线 主 机 才 可 以 访问 本 无 线 网 络 ) 或 采用 无 线 数据 加 密 的 方法 。 


1. 取消 SSID 广播 


SSID(Service Set Identifier) 也 可 以 写 为 ESSID, 用 来 区 分 不 同 的 网 络 , 最 多 可 以 有 
32 个 字符 ,无 线 网 卡 设置 了 不 同 的 SSID 就 可 以 进入 不 同 网 络 ,SSID 通常 由 AP 广播 出 
来 ,通过 Windows XP 自 带 的 扫描 功能 可 以 查看 当前 区 域内 的 SSID。 出 于 安全 考虑 ,可 
以 不 广播 SSID, 此 时 用 户 就 要 手工 设置 SSID 才能 进入 相应 的 网 络 。 简 单 地 说 ,SSID 就 
是 一 个 局 域 网 的 名 称 ,只 有 设置 为 具有 相同 的 SSID 值 的 计算 机 才能 互相 通信 。 
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2. 禁用 SSID 广播 


通俗 地 说 ,SSID 是 给 无 线 网 络 所 取 的 名 字 。 需 要 注意 的 是 ,同一 生产 商 推出 的 无 线 
路 由 器 或 AP 都 使 用 了 相同 的 SSID ,一 旦 那些 企图 非法 连接 的 攻击 者 利用 通用 的 初始 化 
字符 串 来 连接 无 线 网 络 ,就 极 易 建 立 起 一 条 非法 的 连接 ,从 而 给 无 线 网 络 带 来 威胁 。 因 
此 ,建议 最 好 能 够 将 SSID 命名 为 一 些 较 有 个 性 的 名 字 。 

无 线路 由 器 一 般 都 会 提供 “允许 SSID 广播 ”功能 。 如 果 不 想 让 自己 的 无 线 网 络 被 别 
人 通过 SSID 名 称 搜索 到 ,那么 最 好 “禁止 SSID 广播 >。 你 的 无 线 网 络 仍然 可 以 使 用 ,只 
是 不 会 出 现在 其 他 人 所 搜索 到 的 可 用 网 络 列表 中 。 

注意 : 通过 禁止 SSID 广播 设置 后 ,无 线 网 络 的 效率 会 受到 一 定 的 影响 ,但 以 此 换取 
安全 性 的 提高 ,这 还 是 值得 的 。 而 且 由 于 没有 进行 SSID 广播 ,该 无 线 网 络 被 无 线 网 卡 忽 
略 了 ,尤其 是 在 使 用 Windows XP 管理 无 线 网 络 时 ,达到 了 “ 掩 人 耳目 ”的 目的 。 

首先 进入 路 由 器 设置 界面 ,选择 无 线 参 数 , 取 消 允 许 SSID 广播 ,一 般 路 由 器 设置 的 
SSID, 厂 家 都 会 默认 使 用 自己 的 标识 或 机 型 ,因此 ,如 果 不 想 被 别人 猜 出 无 线 网 络 的 
SSID ,可 手动 修改 SSID, 可 指定 任意 个 性 化 的 名 称 ,当然 也 可 不 指定 而 采用 默认 的 SSID。 


9.3.9 无 线 VPN 


1. 需求 描述 


一 些 中 小 型 企业 和 政府 机 构 出 于 布线 系统 困难 的 考虑 ,采用 无 线 局 域 网。 主要 有 以 
下 情况 。 

* 布线 困难 和 安装 成 本 高 ,如 历史 建筑 腐蚀 性 环境 和 开阔 地 带 。 

。 频繁 变化 的 环境 ,如 零售 店 `. 工 厂 和 银行 频繁 地 重新 安排 工作 场所 和 改变 工作 
地 点 。 

。 用 于 特殊 的 项 目 或 高 峰 时 间 的 临时 局 域 网 ,零售 店 和 航空 公司 在 高 峰 时 期 需要 额 
外 的 工作 站 。 展 览 会 和 交易 展会 短期 内 需要 安装 临时 局 域 网 。 

* 应 急 局 域 网 ,在 网 络 遭 遇 灾难 被 破坏 时 ,需要 快速 安装 和 紧急 恢复 。 


2. 解决 方案 


上 述 网 络 构建 需求 可 以 通过 采用 Avaya 公司 的 VPN 网 关 VSU-100 和 VSU-2000 
实现 VPN 安全 网 络 。 

其 中 VSU-100 是 用 于 小 型 和 中 型 业务 的 VPN 设备 . 它 具 有 2 个 局 域 网 端口 ， 
16Mbps 速率 的 加 密 3DES 算法 ,可 以 同时 支持 100 个 VPN 隧道 ; 而 VSU-2000 适合 用 
于 分 支 办 事 处 , 它 具 有 2 个 局 域 网 端口 .16Mbps 速率 的 加 密 3DES 算法 ,可 以 同时 支持 
100 个 VPN 隧道 ,如 图 9-3 所 示 。 

无 线 局 域 网 由 于 采用 无 线 电波 的 方式 传输 信息 ,所 以 信息 很 容易 被 接收 ,其 安全 对 于 
一 些 企业 和 单位 是 十 分 值得 关注 的 问题 。 采 用 VPN 后 ,在 空中 传输 的 是 经 过 加 密 的 信 
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总 部 
远程 办 公 室 
Es 有 无 线 电 网 卡 的 
是 -一 计算 机 和 VPN ĝo 
远程 客户 机 软件 
I 
1 


1 
A 
A 
A 
b AP-II \ ! 
A 
A 


VSU-100 


Ns VPN 管 理 


户外 连接 VSU-2000 工具 组 件 
有 线 个 人 电脑 


服务 器 
图 9-3 VPN 安全 网 络 


息 ,因此 不 会 出 现 安全 隐患 。 该 解决 方案 的 VPN 隧道 安全 服务 还 具有 以 下 特点 。 
采用 IPSec 安全 协议 。 
采用 信息 压缩 技术 压缩 ,提高 了 传输 效率 。 
采用 密 钥 管理 技术 (IKE 和 SKIP), 
具有 设备 验证 (数字 认证 和 共享 机 密 ) 的 功能 。 
。 具有 用 户 检查 的 功能 ,采用 了 LDAP,CHAP/PAP, RADIUS 和 SecurID 等 技术 。 
Avaya 公司 的 无 线 VPN 解决 方案 为 企业 和 业务 提供 者 的 IP-VPN 网 络 提供 了 安全 
措施 和 基于 策略 的 管理 。 随 着 IEEE 802. 1. 1. b 和 IEEE 802. 1. 1. a 标准 的 出 台 ,无 线 局 
域 网 市 场 将 有 很 大 的 发 展 , 所 以 该 解决 方案 对 于 安全 性 要 求 较 高 的 用 户 具 有 很 大 的 吸 
5D. 
通过 Avaya 公司 为 该 网 关 配置 的 Avaya VPN-manager, 用 户 可 以 采用 集中 的 策略 管 
理 。 使 用 了 VPNmanager 配置 和 VPN 策略 .信息 可 以 被 集中 管理 ,并 被 有 效 而 透明 地 发 
送 到 VSU 网 关 。 这 样 ,减少 了 对 用 来 支持 VPN 配置 和 管理 的 昂贵 IT 资源 的 需要 。 


94 项 目 实 施 


任务 9-1 无 线 局 城 网 安全 配置 


WLAN 是 Wireless LAN 的 简称 , 即 无 线 局 域 网 。 所 谓 无 线 网 络 ,顾名思义 就 是 利用 
无 线 电 波 作为 传输 媒介 而 构成 的 信息 网 络 ,由 于 WLAN 产品 不 需要 铺设 通信 电缆 ,可 以 
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灵活 机 动 地 应 付 各 种 网 络 环境 的 设置 变化 。 

WIAN 技术 为 用 户 提 供 更 好 的 移动 性 、 灵 活性 和 扩展 性 ,在 难以 重新 布线 的 区 域 提 
供 快速 而 经 济 有 效 的 局 域 网 接 入 ,无 线 网 桥 可 用 于 为 远程 站 点 和 用 户 提 供 局 域 网 接 入 。 
但 是 , 当 用 户 对 WLAN 的 期 望 日 益 升 高 时 ,其 安全 问题 随 着 应 用 的 深入 表露 无 遗 , 并 成 
为 制约 WLAN 发 展 的 主要 瓶颈 。 


1. 威胁 无 线 局 域 网 的 因素 


首先 应 该 被 考虑 的 问题 是 ,由 于 WLAN 是 以 无 线 电 波 作 为 上 网 的 传输 媒介 ,因此 无 
线 网 络 存在 着 难以 限制 网 络 资源 的 物理 访问 ,无 线 网 络 信号 可 以 传播 到 预期 的 方位 以 外 
的 地 域 ,具体 情况 要 根据 建筑 材料 和 环境 而 定 ,这 样 就 使 得 在 网 络 覆盖 范围 内 都 成 为 
WLAN 的 接 人 点 ,使 人 侵 者 有 机 可 乘 ,可 以 在 预期 范围 以 外 的 地 方 访问 WLAN, $3 Ur 8j 
络 中 的 数据 ,有 机 会 人 侵 WLAN 并 应 用 各 种 攻击 手段 对 无 线 网 络 进 行 攻击 ,当然 这 是 在 
入侵 者 拥有 了 网 络 访问 权 以 后 。 

其 次 ,由 于 WLAN 还 是 符合 所 有 网 络 协议 的 计算 机 网 络 , 所 以 计算 机 病毒 一 类 的 网 
络 威胁 因素 同样 也 威胁 着 所 有 WLAN 内 的 计算 机 ,其 至 会 产生 比 普通 网 络 更 加 严重 的 
后 果 。 

因此 ,WLAN 中 存在 的 安全 威胁 因素 主要 是 : 窃听 、 截 取 或 者 修改 传输 数据 .置信 攻 
击 、 拒 绝 服务 等 。 

IEEE 802. 1. x 认证 协议 发 明 者 VipinJain 接受 媒体 采访 时 表示 :“ 谈 到 无 线 网 络 , 企 
业 的 IT 经 理 人 最 担心 两 件 事 : 首先 ,市 面 上 的 标准 与 安全 解决 方案 太 多 ,使 得 用 户 无 所 
适 从 ;其 次 ,如 何 避 免 网 络 遭 到 和 人 侵 或 攻击 ? 无线 媒体 是 一 个 共享 的 媒介 ,不 会 受 限 于 建 
筑 物 实体 界线 ,因此 有 人 要 入 侵 网 络 可 以 说 十 分 容易 。” 因 此 WLAN 的 安全 措施 还 是 任 
重 而 道 远 。 


2. 无 线 局 域 网 的 安全 措施 


CD 采用 无 线 加 密 协议 防止 未 授权 用 户 
保护 无 线 网 络 安全 的 最 基本 手段 是 加 密 ,通过 简单 地 设置 AP 和 无 线 网 卡 等 设备 ,就 
可 以 启用 WEP 加 密 。 无 线 加 密 协 议 (WEP) 是 对 无 线 网 络 上 的 流量 进行 加 密 的 一 种 标准 
方法 。 许 多 无 线 设备 商 为 了 方便 安装 产品 ,交付 设备 时 关闭 了 WEP 功能 。 但 一 旦 采用 
这 种 做 法 ,黑客 就 能 利用 无 线 嗅 探 器 直接 读 取 数 据 。 建 议 经 常 对 WEP 密 钥 进行 更 换 , 有 
条 件 的 情况 下 启用 独立 的 认证 服务 为 WEP 自动 分 配 密 钥 。 另 外 一 个 必须 注意 的 问题 就 
是 用 于 标识 每 个 无 线 网 络 的 服务 者 身份 (SSID) ,在 部 署 无 线 网 络 的 时 候 一 定 要 将 出 厂 时 
的 默认 SSID 更 换 为 自 定义 的 SSID。 现 在 的 AP 大 部 分 都 支持 屏蔽 SSID 广播 ,除非 有 特 
殊 理由 ,和 否则 应 该 禁用 SSID 广播 ,这 样 可 以 减少 无 线 网 络 被 发 现 的 可 能 。 
但 是 目前 IEEE 802. 1. 1. 标准 中 的 WEP 安全 解决 方案 在 1. 5min 内 就 可 被 攻破 ,已 
被 广泛 证 实 不 安全 。 所 以 如 果 采 用 支持 1. 28 位 的 WEP, 破 解 1.28 位 的 WEP 是 相当 困 
难 的 ,同时 也 要 定期 地 更 改 WEP, 保 证 无 线 局 域 网 的 安全 。 如 果 设 备 提 供 了 动态 WEP 
功能 ,最 好 应 用 动态 WEP。 值 得 我 们 庆幸 的 ,Windows XP 本 身 就 提供 了 这 种 支持 ,可 以 
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选中 WEP 选项 “自动 为 我 提供 这 个 密 钥 ”。 同 时 ,应 该 使 用 IPSec, VPN, SSH 或 其 他 
WEP 的 蔡 代 方 法 。 不 要 仅 使 用 WEP 来 保护 数据 。 

(2) 改变 服务 集 标识 符 并 且 禁 止 SSID 广播 

SSID 是 无 线 接 和 人 的 身份 标识 符 ,用 户 用 它 来 建立 与 接 和 人 点 之 间 的 连接 。 这 个 身份 
标识 符 是 由 通信 设备 制造 商 设 置 的 ,并 且 每 个 厂商 都 用 自己 的 默认 值 。 例 如 ,3COM 
的 设备 都 用 “1.01.”。 因 此 ,知道 这 些 标识 符 的 黑客 可 以 很 容易 不 经 过 授权 就 享受 你 
的 无 线 服务 。 你 需要 给 每 个 无 线 接 入 点 设置 一 个 唯一 并 且 难 以 推测 的 SSID。 如 果 可 
能 ,还 应 该 禁止 你 的 SSID 向 外 广播 。 这样, 你 的 无 线 网 络 就 不 能 够 通过 广播 的 方式 来 
吸纳 更 多 用 户 。 当 然 这 并 不 是 说 你 的 网 络 不 可 用 ,只 是 它 不 会 出 现在 可 使 用 网 络 的 名 
单 中 。 

(3) 静态 IP 与 MAC 地 址 绑 定 

无 线路 由 器 或 AP 在 分 配 IP 地 址 时 ,通常 是 默认 使 用 DHCP 即 动态 IP 地 址 分 配 ,这 
对 无 线 网 络 来 说 是 有 安全 隐患 的 ,“ 不 法 ”分 子 只 要 找到 了 无 线 网 络 ,很 容易 就 可 以 通过 
DHCP 而 得 到 一 个 合法 的 IP 地 址 ,由 此 就 进入 了 局 域 网 络 中 。 因 此 ,建议 关闭 DHCP 服 
务 ,为 家 里 的 每 台 计算 机 分 配 固定 的 静态 IP 地 址 ,然后 再 把 这 个 IP 地 址 与 该 计算 机 网 
ff) MAC 地 址 进行 绑 定 ,这 样 就 能 大 大 提升 网 络 的 安全 性 。“ 不 法 ?分子 不 易 得 到 合 
法 的 JP 地址 ,即使 得 到 了 ,因为 还 要 验证 绑 定 的 MAC 地 址 ,相当 于 两 重 关 卡 。 设 置 方 
法 如 下 。 

首先 ,在 无 线路 由 器 或 AP 的 设置 中 关闭 “DHCP 服务 器 ”。 其 次 ,激活 “固定 DHCP” 
功能 ,把 各 计算 机 的 “名 称 ”( 即 Windows 系统 属性 里 的 “计算 机 描述 ”) ,以 后 要 固定 使 用 
的 IP 地 址 ,其 网 卡 的 MAC 地 址 都 如 实 填写 好 。 最 后 单 击 “执行 ”命令 就 可 以 了 。 


任务 9-2 确保 无 线 网 安全 


随 着 科技 时 代 的 发 展 , 越 来 越 多 的 无 线 产 品 正在 投入 使 用 ,无 线 安全 的 概念 也 不 是 风 
声 大 雨点 小 ,不 论 是 咖啡 店 、 机 场 的 无 线 网 络 ,还 是 自家 用 的 无 线路 由 ,都 已 经 成 为 黑客 进 
攻 的 目标 。 那 么 如 何 才能 保证 自己 的 无 线 安全 呢 ? 

步骤 /方法 : 正确 放置 网 络 的 接 入 点 设备 并 从 基础 做 起 。 在 网 络 配置 中 ,要 确保 无 线 
接 人 点 放置 在 防火 墙 范围 之 外 。 

利用 MAC 阻止 黑客 攻击 利用 基于 MAC 地 址 的 ACL( 访 问 控制 表 ) ,确保 只 有 经 过 
注册 的 设备 才能 进入 网 络 。MAC 过 滤 技 术 就 如 同 给 系统 的 前 门 再 加 一 把 锁 , 设 置 的 障 
碍 越 多 , 越 会 使 黑客 知 难 而 退 , 不 得 不 转 而 寻求 其 他 低 安 全 性 的 网 络 。 

所 有 无 线 局 域 网 都 有 一 个 默认 的 SSID( 服 务 标识 符 ) 或 网 络 名 。 立 即 更改 这 个 名 字 ， 
用 文字 和 数字 符号 来 表示 。 如 果 企 业 具 有 网 络 管理 能 力 ,应 该 定期 更 改 SSID。 不 要 到 处 
使 用 这 个 名 字 : 即 取消 SSID 自动 播放 功能 。 

WEP 协议 (不 能 将 加 密 保 障 都 寄 希 望 于 WEP 协议 )。WEP 是 802. 11b 无 线 局 域 网 
的 标准 网 络 安 全 协议 。 在 传输 信息 时 ,WEP 可 以 通过 加 密 无 线 传输 数据 来 提供 类 似 有 线 
传输 的 保护 。 在 简便 的 安装 和 启动 之 后 ,应 立即 更 改 WEP 密 钥 的 默认 值 。 最 理想 的 方 
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式 是 WEP 的 密 匙 能 够 在 用 户 登 录 后 进行 动态 改变 ,这 样 ,黑客 想 要 获得 无 线 网 络 的 数据 
就 需要 不 断 跟踪 这 种 变化 。 基 于 会 话 和 用 户 的 WEP 密 钥 管 理 技术 能 够 实现 最 优 保护 ， 
为 网 络 增加 另外 一 层 防范 ,确保 无 线 安全 。 

尽管 现在 无 线 局 域 网 的 构建 已 经 相当 方便 , 非 专业 人 员 可 以 在 自己 的 办 公 室 安装 无 
线路 由 器 和 接 和 人 点 设备 ,但 是 ,他 们 在 安装 过 程 中 很 少 考虑 到 网 络 的 安全 性 ,只 要 通过 网 
络 探测 工具 扫描 网 络 就 能 够 给 黑客 留 下 攻击 的 后 门 。 因 而 ,在 没有 专业 系统 管理 员 同 意 
和 参与 的 情况 下 ,要 限制 无 线 网 络 的 构建 ,这 样 才能 保证 无 线 安 全 。 

部 分 概念 说 明 如 下 。 

* MAC: MAC(Media Access Control) 地 址 ,或 称 为 MAC 位 址 、 硬 件 位 址 ,用 来 定 

义 网 络 设备 的 位 置 。 

* WEP: Wired Equivalent Privacy 加 密 技术 , WEP 安全 技术 源 自 于 名 为 RC4 的 
RSA 数据 加 密 技术 ,以 满足 用 户 更 高 层次 的 网 络 安全 需求 。 
ACL: ACL(Access Control List ,访问 控制 列表 ) 是 路 由 器 和 交换 机 接口 的 指令 
列表 ,用 来 控制 端口 进出 的 数据 包 。 
VPN; VPN(Virtual Private Network ,虚拟 专用 网 络 ) 指 的 是 在 公用 网 络 上 建立 
专用 网 络 的 技术 。 其 之 所 以 称 为 虚拟 网 , 主要 是 因为 整个 VPN. 网 络 的 任意 两 个 
节点 之 间 的 连接 并 没有 传统 专 网 所 需 的 端 到 端的 物理 链 路 ,而 是 架构 在 公用 网 络 
服务 商 所 提供 的 网 络 平台 上 ,如 Internet、ATM( 异 步 传输 模式 )、Frame Relay Cli 
中 继 ) 等 之 上 的 逻辑 网 络 ,用 户 数据 在 逻辑 链 路 中 传输 。 它 涵盖 了 路 共享 网 络 或 
公共 网 络 的 封装 、 加 密 和 身份 验证 链接 的 专用 网 络 的 扩展 。VPN 主要 采用 了 隧 
道 技术 .加 解密 技术 、 密 钥 管理 技术 和 使 用 者 与 设备 身份 认证 技术 。 
RADIUS: RADIUSCRemote Authentication Dial In User Service ,远程 用 户 拨号 
认证 系统 ) 由 RFC2865,RFC2866 定义 ,是 目前 应 用 最 广泛 的 AAA 协议 。 
SSID: SSID(Service Set Identifier ,服务 集 标识 ) 技 术 可 以 将 一 个 无 线 局 域 网 分 为 
几 个 需要 不 同 身份 验证 的 子 网 络 ,每 一 个 子 网 络 都 需要 独立 的 身份 验证 ,只 有 通 
过 身份 验证 的 用 户 才 可 以 进入 相应 的 网 络 。 


任务 9-3 ”无线 VPN 安全 设置 


启用 VPN 连接 和 连接 后 无 线路 由 的 设置 方法 : 由 于 架设 VPN 的 需要 ,各 网 点 原来 
使 用 的 无 线路 由 器 需要 重新 设置 。 具 体 设 置 方法 如 下 所 示 ( 这 里 截取 的 是 TP-LINK 路 
由 器 的 图 片 ,华为 路 由 器 设置 请 参考 本 方法 并 对 照 设 置 执行 ) 。 

CD 打开 浏览 器 ,在 地 址 栏 输入 http://192. 168. 1. 1 并 按 Enter 键 , 进 入 路 由 器 登录 
提示 框 ( 图 9-4) 。 

输入 用 户 名 、 密 码 后 ,登录 路 由 器 。 

打开 网 络 设置 中 的 LAN 设置 界面 进行 更 改 ( 图 9-5) 。 
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连接 到 192.168.0.1 
] A 


TP-LINK Wireless Router WRB41G/642G 
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IP 地 址 更 改 为 : 192.168.222 | 各 网 点 IP 网 段 划 分 请 按照 凯特 论坛 计算 机 专区 的 
T3 T 32 “VPN 网 段 划分 暂行 设置 

如 : 太原 特 服 务 192.168.3.0 网 段 

无 线路 由 IP AERE 太原 客服 为 192.168.9.0 网 段 

192.168. 2 


FTO emen 


>| [953 su 


Æ 9-5 LAN 设置 界面 


(2) 打开 网 络 设置 中 的 WAN 设置 界面 进行 更 改 ( 图 9-6) 。 

(3) 打开 无 线 参 数 中 的 基本 设置 界面 进行 更 改 (图 9-7) 。 

(4) 打开 DHCP 服务 器 中 的 DHCP 服务 界面 进行 更 改 ( 图 9-8) 。 

(5) 其 他 未 列 出 的 项 目 均 不 需要 更 改 和 设置 。 

(6) 更 改 设置 完成 后 ,切记 要 保存 ,然后 重新 启动 路 由 器 。 

(7) 设置 完成 后 ,无 线路 由 器 将 会 当 作 无 线 交 换 机 的 功能 使 用 ,不 再 使 用 原 有 的 路 由 
功能 ,所 以 在 网 线 连接 时 ,要 将 WAN 口 空 出 ,所 有 需要 连接 的 线路 (包括 与 VPN 连接 的 
主线 ) 都 插 在 LAN 口上 (图 9-9、 图 9-10) 。 
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图 9-7 基本 设置 界面 


253 


网 络 安全 实用 项 目 教程 


TP-LINK 


DHCP 设 置 
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图 9-8 DHCP 服务 界面 


图 9-9 插 线 实物 图 (1) 图 9-10 ” 播 线 实物 图 (2) 


VPN 连接 时 注意 以 下 几 点 。 
(1) 宽带 从 Modem( 猫 ) 或 者 宽带 运营 商 提供 的 接口 连接 出 来 后 ,直接 通过 网 线 连接 
到 VPN 上 。 连 接 时 要 注意 将 网 线 插 人 到 WANI O EEC — 
上 ,WAN2 口 为 预 留 口 ,如 图 9-11 所 示 。 ”oe 
(2) 架设 VPN 后 , 需 将 全 部 网 内 计算 机 的 本 机 
IP 地 址 设置 为 自动 获取 , 待 计算 机 取得 IP 后 才能 连 "Wm 
接 网 络 。 如 果 手 动 添加 IP, 则 需要 注意 自己 所 在 的 网 - B 
段 (网 段 划分 见 “VPN 网 段 划分 暂行 办 法 ") 。 T 
(3) VPN 连接 成 功 后 ， - 律 将 各 网 点 电 子 监控 设 图 9-11 插 线 实物 图 (3) 
备 ( 硬 盘 录 像 机 ) 的 主机 IP 地 址 设置 为 192. 168. 1. 


254 


项 目 9 无 线 局 域 网 安全 


28 ,端口 一 律 更 改 为 8001 ,否则 监控 系统 不 能 联网 。 


95 z] 题 

一 、 填空 题 

1. 掉 话 率 — ( 》) 话音 信道 掉 话 总 次 数 / 》) 系统 应 答 总 次 数 ) X100%, 其 中 ,话音 信 
道 掉 话 总 次 数 统计 的 是 无 线 侧 的 消息 。 

2. 与 定位 功能 相关 的 辅助 无 线 功 能 有 : 

3. 是 否 启用 L- 算 法 ,是 由 和 参数 来 决定 的 。 

4. BO 软件 包括 3 个 模块 : š 。 当 我 们 要 直接 做 一 张 报 
表 , 不 需要 建立 新 的 universe 的 时 候 , 要 用 模块 ; 当 我 们 要 建立 一 个 新 的 
universe 的 时 候 ,要 用 模块 ; 当 我 们 要 做 用 户 管理 的 工作 的 时 候 ,要 用 模块 

5. 调整 向 外 分 担负 荷 可 调整 参数 ,调整 向 内 负荷 分 担 可 调整 参 
数 

二 、 选 择 题 

1. GSM 小 区 (CELL) 的 发 射 半径 控制 在 35 公里 内 ,主要 由 ( ) 因 素 决 定 。 

A. 时 隙 定位 的 问题 B. 频率 复 用 方式 


C. 输出 功率 不 允许 超过 40W 

2. 每 个 基站 中 都 装配 两 个 接收 天 线 的 原因 是 ( ys 
A. 增强 发 射 信号 强度 B. 互 为 备份 
C. 增强 接收 信号 强度 

ERE ) 逻 辑 信道 移动 用 户 用 于 连接 系统 。 


A. 寻 呼 信道 (PCH) B. 广播 信道 (BCCH) 
C. 随机 接 入 信道 (RACH) D. TS2 
4. 测量 结果 通过 ( ) 人 逻辑 信道 传 回 基 站 。 
A. SDCCH B. SACCH C. TCH 
5. RAND, Kc fl SRES 组 合 的 英文 名 称 为 ( ). 
A. Mobile number group B. Triplet 
C. Triplegroup 
6. € ) 功 能 是 在 BSC 中 完成 的 。 
A. 测量 无 线 连接 的 信号 强度 B. 分 配 无 线 信道 
C. 本 地 交换 


7. 临时 移动 用 户 识别 号 (TMSD) 的 作用 是 ( Ji 
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统 ? 
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A. 识别 出 租 的 手机 

B. 减少 移动 用 户 的 身份 在 无 线 空间 的 暴露 次 数 

C. 作为 用 户 使 用 新 设备 的 临时 身份 号 
8. 当 移 动用 户 移动 到 同一 LA 中 另 一 单元 时 ,是 否 总 要 将 此 变化 通知 GSM 网 络 系 
( ) 


A. 总 要 
B. 只 有 当 移 动用 户 正在 呼叫 时 才 要 
C. 不 需要 
9. 在 CME20 系统 中 ,克服 时 间 色散 的 措施 是 ( Ja 
A. 采用 跳 频 技术 B. 采用 接收 机 均衡 器 
C. 采用 交织 技术 D. 采用 GMSK 调制 技术 
10. 在 逻辑 信道 的 分 类 中 ,( ) 不 属于 广播 信道 (BCH)。 
A. 同步 信道 (SCH) B. 频率 校正 信道 (FCCH) 
C. 广播 控制 信道 (BCCH) D. 寻 呼 信道 (PCH) 
三 、 简 答题 


1. 简 述 WLAN 的 应 用 现状 。 
2. 简 述 WLAN 面临 的 安全 问题 。 
3. 简 述 WLAN 业界 的 安全 技术 。 
A. 简 述 无 线 产 品 的 选 型 原则 。 
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101 项 目 导 入 


Internet 是 全 球 最 大 的 、 开 放 的 、 由 众多 网 络 互联 而 成 的 计算 机 网 络 ,现在 无 论 做 什 
么 ,都 和 Internet 打交道 ,网 络 的 开放 性 和 共享 性 在 方便 了 人 们 使 用 的 同时 也 使 得 网 络 很 
容易 遭受 到 攻击 ,而 攻击 的 后 果 是 严重 的 ,诸如 数据 被 人 窃取 、 服 务 器 不 能 正常 提供 服务 
等 ,所 以 我 们 应 该 加 强 安 全 意识 。 


102 项 目 分 析 


XX 公 司 早已 应 用 计算 机 作为 生产 管理 的 工具 ,因为 公司 经 营 有 道 , 目 前 已 经 建立 了 
三 十 多 个 分 公司 (办 事 处 ) ,各 分 支 机 构 内 部 也 全 部 采用 计算 机 作为 业务 工具 ,并 建立 了 自 
己 的 局 域 网 络 , 所 有 的 子 公 司 都 需要 接 人 Internet, 需 要 互相 发 邮件 ,访问 网 站 等 ,但 是 对 
于 整个 公司 来 说 ,分 公司 仍然 是 信息 孤岛 , 若 想 通过 Internet 访问 ,有 时 速度 是 很 慢 的 , X 
XX 公司 的 信息 网 络 建设 已 经 滞后 于 业务 发 展 的 步伐 。 新 的 ERP 系统 的 使 用 也 迫切 地 需 
要 将 各 分 公司 与 总 公司 的 局 域 网 连接 在 一 起 ,形成 一 个 大 的 内 部 Intranet 广域网 络 。 为 
了 解决 上 面 的 问题 ,我 们 需要 致力 于 研究 Internet 安全 与 应 用 来 解决 XX 公司 所 面临 的 
问题 。 


103 相关 知识 点 


10.3.1 电子 邮件 安全 


电子 邮件 已 经 成 为 现代 商业 及 日 常生 活 通信 中 的 重要 部 分 , 快 客 邮件 统计 资料 显示 
在 全 球 范围 内 ,目前 平均 每 秒 就 有 300 万 封 电邮 被 发 送出 去 ,由 于 中 国 的 网 民 位 居 世 界 之 
冠 ,其 电子 邮件 通信 量 也 相当 多 。 巾 于 许多 用 户 对 电子 邮件 的 安全 风险 漏洞 认识 不 够 透 
彻 , 甚 至 有 更 多 的 人 根本 没有 防范 意识 ,以 致 各 种 威胁 乘虚 而 人 。 


1. 电子 邮件 的 安全 漏洞 
传统 的 邮件 系统 在 传输 、 保 存 、 管 理 上 均 无 安全 性 控制 ,存在 着 泄密 、 易 被 监听 和 破解 
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等 严重 安全 隐患 ,电子 邮件 已 经 成 为 近年 来 从 国家 机 密 到 个 人 隐私 泄密 事件 的 主要 通道 。 

CD 电子 邮件 协议 

常见 的 电子 邮件 协议 有 SMTP 和 POP3 ,它们 都 属于 TCP/IP 协议 簇 的。 默认 状态 
下 ,分 别 通过 TCP 端口 25 和 110 建立 连接 。 其 中 SMTP 是 一 组 用 于 从 源 地 址 到 目的 地 
址 传输 邮件 的 规范 ,用 来 控制 邮件 的 中 转 方式 。POP 协议 负责 从 邮件 服务 器 中 检索 电子 
邮件 。 

(2) 电子 邮件 的 安全 漏洞 

其 包括 以 下 方面 。 

( 缓存 漏洞 。 

© Web 信箱 漏洞 。 

O 历史 记录 漏洞 。 

@ 密码 漏洞 。 

© 攻击 性 代码 漏洞 。 


2. 电子 邮件 安全 技术 与 策略 


(1) 电子 邮件 安全 技术 

CD. 端 到 端的 安全 电子 邮件 技术 

端 到 端的 安全 电子 邮件 技术 可 保证 邮件 从 被 发 出 到 被 接收 的 整个 过 程 中 ,内 容 保 密 ， 
无 法 修改 ,并 且 不 可 否认 。 目 前 ,成 熟 的 端 到 端 安 全 电子 邮件 标准 有 PGP 和 S/MIME。 

@ 传输 层 的 安全 电子 邮件 技术 

目前 主要 有 两 种 方式 实现 电子 邮件 在 传输 过 程 中 的 安全 ,一 种 是 利用 SSL SMTP 和 
SSL POP; 另 一 种 是 利用 VPN 或 者 其 他 的 IP 通道 技术 ,将 所 有 的 TCP/IP 传输 (包括 电 
子 邮 件 ) 封 装 起 来 。 

(2) 电子 邮件 安全 策略 

(D 选择 安全 的 客户 端 软件 。 

© 利用 防火 墙 技术 。 

© 对 邮件 进行 加 密 。 

@ 利用 病毒 杀 软 件 。 

C) 对 邮件 客户 端 进行 安全 配置 。 


10.3.2 Internet 电子 欺骗 与 防范 


2002 年 1 月 12 日 ,广东 省 阳江 市 公安 局 网 络 安全 监察 科 接 到 当地 一 位 李 女 士 的 报 
E. 她 收 到 了 一 封 附 有 7 张 色 情 图 片 的 电子 邮件 。 公 安 部 门 接 到 报案 后 ,迅速 展开 了 调 
查 , 通 过 查询 电信 部 门 的 IP 记录 ,找到 了 发 送 色 情 邮 件 的 TP 地 址 , 顺 茧 摸 瓜 找到 了 梁 瑞 
本 。 梁 瑞 本 称 有 黑客 盗用 他 的 计算 机 管制 权限 而 向 外 乱 发 色情 图 片 , 他 据 此 向 阳江 市 城 
区 法 院 递 交行 政 起 诉状 ,请 求 撤销 阳江 市 公安 局 对 他 的 处 罚 。 法 院 审理 后 认为 ,根据 IP 
地 址 .网 上 账号 和 口令 在 网 络 上 的 唯一 性 、 排 他 性 ,认为 该 色情 邮件 就 是 从 梁 瑞 本 家 的 计 
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算 机 发 出 的 。 

如 今 ,Internet 的 普及 使 其 几乎 时 时 刻 刻 都 遭受 着 各 种 各 样 的 有 意 或 无 意 的 电子 攻 
击 , 不 时 有 Internet 服务 器 被 攻击 的 报告 ,使 Internet 的 安全 性 受到 了 严重 威胁 ,干扰 了 
人 们 正常 使 用 Internet。 因 此 ,如 何 有 效 地 防范 电子 攻击 、 增 强 网 络 安 全 性 是 一 个 不 容 忽 
视 的 研究 课题 。 由 于 它 是 一 种 非常 专业 化 的 攻击 ,而 一 般 网 民 对 其 攻击 机 制 并 不 了 解 , 由 
此 造成 了 防范 此 类 攻击 的 困难 。 那 么 电子 欺骗 可 以 用 一 句 话 概括 : 通过 伪造 源 于 一 个 可 
信任 地 址 的 数据 ,可 以 使 一 台 机 器 认证 另 一 台 机 器 的 电子 攻击 手段 。 它 可 分 为 ARP 电 
子 欺骗 .DNS 电子 欺骗 和 IP 电子 欺骗 三 种 类 型 。 下 面 对 这 三 种 电子 欺骗 分 别 进 行 介绍 。 


1. ARP 电子 欺骗 


(1) ARP 协议 

ARP 是 负责 将 TP 地 址 转化 成 对 应 的 MAC 地 址 的 协议 。 

为 了 得 到 目的 主机 的 MAC 地 址 , 源 主机 就 要 查找 其 ARP 缓存 , 若 没有 找到 , 源 主机 
就 会 发 送 一 个 ARP 广播 请 求 数据 包 。 此 ARP 请 求 数据 包 包 含 源 主机 的 IP 地 址 .MAC 
地 址 和 目的 主机 的 IP 地 址 。 它 向 以 太 网 上 的 每 一 台 计 算 机 询问 :“ 如 果 你 是 这 个 IP 地 
址 ,请 回复 你 的 MAC 地址 ”。 只 有 具有 此 IP 地 址 的 主机 收 到 这 份 广播 报 文 后 , 才 会 向 源 
主机 回 送 一 个 包含 其 MAC 地 址 的 ARP 应 答 。 

(2) ARP 欺骗 攻击 原理 

ARP 请 求 是 以 广播 方式 进行 的 ,主机 在 没有 接 到 请 求 的 情况 下 也 可 以 随意 发 送 
ARP 响应 数据 包 , 且 任何 ARP 响应 都 是 合法 的 ,无 须 认证 ,自动 更 新 ARP 缓存 ,这 些 都 
为 ARP 欺骗 提供 了 条 件 。 

当 LAN 中 的 某 台 主 机 B 向 主机 A 发 送 一 个 自己 伪造 的 ARP 应 答 ,如果 这 个 应 答 是 
B 冒充 C 伪造 的 , 即 IP 地 址 为 C 的 IP 地址 ,而 MAC 地 址 是 B 的 。 当 A 接收 到 B 伪造 
的 ARP 应 答 后 ,就 会 更 新 本 地 的 ARP 缓存 ,建立 新 的 IP 地 址 和 MAC 地 址 的 映射 关系 ， 
从 而 ,B 取 得 了 A 的 信任 。 这 样 ,以 后 A 要 发 送 给 C 的 数据 包 就 会 直接 发 送 到 B 的 手 里 。 

比如 举 一 个 简单 的 例子 : 一 个 人 侵 者 想 非法 进入 某 台 主机 ,他 知道 这 台 主 机 的 防火 
墙 只 对 于 192. 168. 1. 1 开放 23 号 端口 (Telnet) ,而 他 必须 要 使 用 Telnet 来 进入 这 台 主 
机 ,所 以 他 要 进行 如 下 操作 。 

(D 研究 192. 168. 1. 1 主机 ,发 现 如 果 他 发 送 一 个 洪 泛 (Flood) 包 给 192. 168. 1. 1 的 
139 端口 ,该 机 器 就 会 应 包 而 死 。 

© 主机 发 到 192. 168. 1.1 的 IP 包 将 无 法 被 机 器 应 答 ,系统 开始 更 新 自己 的 ARP 对 
应 表 , 将 192.168.1.1 的 项 目 删 去 。 

© 入 侵 者 把 自己 的 IP 改 成 192. 168.1.1, 再 发 一 个 ping 命令 给 主机 ,要 求 主机 更 新 
ARP FRE 

CD 主机 找到 该 IP, 然 后 在 ARP 表 中 加 入 新 的 TP 地 址 与 MAC 地 址 的 映射 关系 。 

C) 这 样 ,防火 墙 就 失效 了 ,入 侵 者 的 MAC 地 址 变 成 合法 ,可 以 使 用 Telnet 进入 主 
机 了 。 

现在 如 果 该 主机 不 只 提供 Telnet ,还 提供 r 命令 (如 rsh rcopy\rlogin) ,那么 ,所 有 的 
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安全 约定 都 将 无 效 , 入 侵 者 可 放心 地 使 用 该 主机 的 资源 而 不 用 担心 被 记录 什么 。 

(3) ARP 欺骗 攻击 的 防御 

采用 如 下 措施 可 有 效 地 防御 ARP 攻击 。 

CD 不 要 把 网 络 的 安全 信任 关系 仅 建立 在 TP 地 址 或 MAC 地 址 的 基础 上 ,而 是 应 该 建 
立 在 IP 十 MAC 基础 上 (即将 IP 和 MAC 两 个 地 址 绑 定 在 一 起 ) 。 

© 设置 静态 的 MAC 地 址 到 IP 地 址 的 对 应 表 , 不 要 让 主机 刷新 设 定好 的 转换 表 。 

C) 除非 很 有 必要 ,否则 停止 使 用 ARP, 将 ARP 作为 永久 条 目 保存 在 对 应 表 中 。 

@ 使 用 ARP 服务 器 ,通过 该 服务 器 查找 自己 的 ARP 转换 表 来 响应 其 他 机 器 的 
ARP 广播 ,确保 这 台 ARP 服务 器 不 被 攻击 。 

定期 清除 计算 机 中 的 ARP 缓存 信息 ,达到 防范 ARP 欺骗 攻击 的 目的 。 

© 使 用 ARP 监控 服务 器 。 当 进行 数据 传输 时 ,客户 端 把 ARP 数据 包 捕获 发 送 给 服 
务 器 端 ,由 服务 器 端 进行 处 理 。 

C 划分 多 个 范围 较 小 的 VLAN ,一 个 VLAN 内 发 生 的 ARP 欺骗 不 会 影响 到 其 他 
VLAN 内 的 主机 通信 ,缩小 了 ARP 欺骗 攻击 影响 的 范围 。 

@ 使 用 交换 机 的 端口 绑 定 功能 。 

© 使 用 防火 墙 连续 监控 网 络 。 


2. DNS 电子 欺骗 


(1) DNS 欺骗 

DNS 欺骗 是 攻击 者 冒充 域名 服务 器 的 一 种 欺骗 行为 。DNS 欺骗 攻击 是 危害 性 较 
大 ,攻击 难度 较 小 的 一 种 攻击 技术 。 当 攻击 者 危害 DNS 服务 器 并 明确 地 更 改 主机 名 与 
IP 地 址 映射 表 时 ,DNS 欺骗 就 会 发 生 。 

(2) DNS 欺骗 攻击 原理 

在 域名 解析 过 程 中 ,客户 端 首先 以 特定 的 标识 (ID) 向 DNS 服务 器 发 送 域名 查询 数 
据 报 ,在 DNS 服务 器 查询 之 后 以 相同 的 ID 号 给 客户 端 发 送 域名 响应 数据 报 。 这 里 ,客户 
端 会 将 收 到 的 DNS 响应 数据 报 的 ID 和 自己 发 送 的 查询 数据 报 的 ID 相 比较 ,两 者 相 匹 
配 , 则 表明 接收 到 的 正 是 自己 等 待 的 数据 包 ; 如 果 不 匹配 , 则 丢弃 之 。 

攻击 者 的 欺骗 条 件 只 有 一 个 , 那 就 是 发 送 的 与 ID 匹配 的 DNS 响应 数据 报 在 DNS 服 
务 器 发 送 响应 数据 报 之 前 到 达 客 户 端 。 

在 主要 由 交换 机 搭建 的 网 络 环境 下 ,要 想 实现 DNS 欺骗 ,攻击 者 首先 要 向 攻击 目标 
实施 ARP 欺骗 。 

假设 用 户 .攻击 者 和 DNS 服务 器 在 同一 个 LAN 内 , 则 其 攻击 过 程 如 下 。 

CD 攻击 者 通过 向 攻击 目标 以 一 定 的 频率 发 送 伪造 ARP. 应 答 包 ,改写 目标 机 的 ARP 
缓存 中 的 内 容 ,并 通过 IP 续 传 方式 使 数据 通过 攻击 者 的 主机 再 流向 目的 地 ;攻击 者 配合 
嗅 探 器 软件 监听 DNS 请 求 包 ,取得 ID 和 端口 号 。 

© 取得 ID 和 端口 号 后 ,攻击 者 立即 向 攻击 目标 发 送 伪造 的 DNS 应 答 包 。 用 户 收 到 
后 确认 ID 和 端口 号 无 误 ,以 为 收 到 了 正确 的 DNS 应 答 包 。 而 其 实际 的 地 址 很 可 能 被 导 
向 攻击 者 想 让 用 户 访问 的 恶意 网 站 ,用 户 的 信息 安全 受 威胁 。 

260 


项 目 10 Internet 安全 与 应 用 


© 当 用 户 再 次 收 到 DNS 服务 器 发 来 的 DNS 应 答 包 时 ,由 于 晚 于 伪造 的 DNS 应 答 
包 , 因 此 被 用 户 抛弃 ,用 户 的 访问 被 导向 攻击 者 设计 的 地 址 。 一 次 完整 的 DNS 欺骗 完成 。 

(3) DNS 欺骗 攻击 的 防范 

O 直接 使 用 IP 地 址 访问 

对 少数 信息 安全 级 别 要 求 高 的 网 站 应 直接 使 用 (输入 )IP 地 址 进行 访问 ,这 样 可 以 避 
JF DNS 对 域名 的 解析 过 程 ,也 就 避 开 了 DNS 欺骗 攻击 。 

© DNS 服务 器 元 余 

借助 于 “ 宛 余 ”思想 ,可 在 网 络 上 配置 两 台 或 多 台 DNS 服务 器 ,并 将 其 放置 在 网 络 的 
不 同 地 点 。 

@ MAC 与 IP 地 址 绑 定 

DNS 欺骗 是 攻击 者 通过 改变 或 冒充 DNS 服务 器 的 IP 地 址 实现 的 ,所 以 将 DNS 服 
务 器 的 MAC 地 址 与 IP 地 址 绑 定 , 保 存在 主机 内 。 这 样 ,每 次 主机 向 DNS 发 出 请 求 后 ， 
都 要 检查 DNS 服务 器 应 答 中 的 MAC 地 址 是 否 与 保存 的 MAC 地 址 一 致 。 

© 加 密 数 据 

防止 DNS 欺骗 攻击 最 根本 的 方法 是 加 密 传输 的 数据 ,对 服务 器 来 说 应 尽量 使 用 
SSH 等 支持 加 密 的 协议 ,对 一 般 用 户 则 可 使 用 PGP 之 类 的 软件 加 密 所 有 发 到 网 络 上 的 
数据 。 

有 一 些 例 外 情况 不 存在 DNS 欺骗 : 如 果 IE 中 使 用 代理 服务 器 ,那么 DNS 欺骗 就 不 
能 进行 ,因为 此 时 客户 端 并 不 会 在 本 地 进行 域名 请 求 ; 如 果 访 问 的 不 是 本 地 网 站 主页 ,而 
是 相关 子 目录 文件 ,这 样 在 自 定义 的 网 站 上 不 会 找到 相关 的 文件 ,DNS 欺骗 也 会 以 失败 


告终 。 
3. IP 电子 欺骗 


CD IP 电子 欺骗 原理 

IP 电子 欺骗 是 建立 在 主机 间 的 信任 关系 的 。 

由 于 IP. 协议 不 是 面向 链接 的 ,所 以 IP 层 不 保持 任何 连接 状态 的 信息 。 因 此 ,可 以 在 
IP 包 的 源 地 址 和 目标 地 址 字段 中 放 入 任意 的 IP 地址 。 假 如 某 人 冒充 主机 B 的 IP 地 址 ， 
就 可 以 使 用 rlogin 登录 到 主机 A, 而 不 需 任 何 口令 认证 。 这 就 是 IP 电子 欺骗 的 理论 
依据 。 

(2) IP 电子 欺骗 过 程 

CD 使 被 信任 主机 丧失 工作 能 力 

由 于 攻击 者 将 要 代替 真正 地 被 信任 主机 ,他 必须 确保 真正 地 被 信任 主机 不 能 收 到 任 
何 有 效 的 网 络 数据 ,和 否则 将 会 被 揭穿 。 比 如 :使 用 SYN 洪 泛 攻击 使 被 信任 主机 失去 工作 
能 力 。 

© 序列 号 取样 和 推测 

先 与 被 攻击 主机 的 一 个 端口 (如 25) 建 立 起 正常 连接 ,并 将 目标 主机 最 后 所 发 送 的 初 
始 序列 号 (ISN) 存 储 起 来 ;然后 还 需要 估计 他 的 主机 与 被 信任 主机 之 间 的 往返 时 间 。 
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@ 对 目标 主机 的 攻击 

攻击 者 可 伪装 成 被 信任 主机 的 TP 地 址 ,然后 向 目标 主机 的 513 端口 (rlogin 的 端口 
号 ) 发 送 连接 请 求 。 目 标 主机 立刻 对 连接 请 求 做 出 反应 ,发送 SYN/ACK 确认 数据 包 给 
被 信任 主机 。 此 时 被 信任 主机 处 于 瘫痪 状态 ,无 法 收 到 该 包 。 随 后 攻击 者 向 目标 主机 发 
送 ACK 数据 包 , 该 包 使 用 前 面 估计 的 序列 号 加 1。 如 果 攻 击 者 估计 正确 ,目标 主机 将 会 
接收 该 ACK。 连 接 就 正式 建立 。 

(3) IP 电子 欺骗 的 防范 

CD 抛弃 基于 IP 地 址 的 信任 策略 。 

@ 进行 包 过 滤 。 

© 使 用 加 密 方法 。 

© 使 用 随机 的 初始 序列 号 。 


10.3.3 VPN 概述 


虚拟 专用 网 络 (Virtual Private Network. VPN) , 指 的 是 在 公用 网 络 上 建立 专用 网 络 
的 技术 。 之 所 以 称 为 虚拟 网 ,主要 是 因为 整个 VPN 网 络 的 任意 两 个 节点 之 间 的 连接 并 
没有 传统 专 网 所 需 的 端 到 端的 物理 链 路 ,而 是 架构 在 公用 网 络 服务 商 所 提供 的 网 络 平台 
(如 Internet, ATM, Frame Relay 等 ) 之 上 的 逻辑 网 络 , 用 户 数据 在 逻辑 链 路 中 传输 。 

VPN 类 似 于 点 到 点 直接 拨号 连接 或 租用 线路 连接 ,尽管 它 是 以 交换 和 路 巾 的 方式 工 
作 。VPN 常用 的 连接 方式 有 : 通过 Internet 实现 远程 访问 .通过 Internet 实现 网 络 互联 
和 连接 企业 内 部 网 络 计算 机 等 。VPN 允许 远程 通信 方 、 销 售 人 员 或 企业 分 支 机 构 使 用 
Internet 等 公用 网 络 的 路 由 基础 设施 以 安全 的 方式 与 位 于 企业 LAN 端的 企业 服务 器 建 
立 连 接 。 通 过 VPN ,网 络 对 每 个 使 用 者 都 是 “专用 ”的 。 


1. 应 用 


CD. 用 于 政府 \ 企 事业 单位 总 部 与 分 支 机 构 内 部 联网 (Intranet-VPN) 
(2) 适用 于 商业 合作 伙伴 之 间 的 网 络 互联 (Extranet-VPN)VPN 的 功能 。 


2. 功能 


CD 通过 隧道 (Tunnel) 或 虚 电 路 (Virtual Circuit) 实 现 网 络 互 联 。 
(2) 支持 用 户 安全 管理 。 
(3) 能 够 进行 网 络 监控 、 故 障 诊断 。 


3. 特点 


COD 建 网 快速 方便 。 用 户 只 需 将 各 网 络 节点 采用 专线 方式 本 地 接 人 公用 网 络 ,并 对 
网 络 进行 相关 配置 即 可 。 

(2) 降低 建 网 投资 。 由 于 VPN 是 利用 公用 网 络 为 基础 而 建立 的 虚拟 专 网 ,因而 可 以 
避免 建设 传统 专用 网 络 所 需 的 高 额 软 硬 件 投资 。 
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(3) 节约 使 用 成 本 。 用 户 采用 VPN 组 网 ,可 以 大 大 节约 链 路 租用 费 及 网 络 维护 费 
用 ,从 而 减少 企业 的 运营 成 本 。 

(4) 网 络 安全 可 靠 。VPN 主要 采用 国际 标准 的 网 络 安全 技术 ,通过 在 公用 网 络 上 建 
立 逻 辑 隧 道 及 网 络 层 的 加 密 ,避免 网 络 数据 被 修改 和 盗用 ,保证 了 用 户 数据 的 安全 性 及 完 
整 性 。 

(5) 简化 用 户 对 网 络 的 维护 及 管理 工作 。 大 量 的 网 络 管理 及 维护 工作 由 公用 网 络 服 
务 提供 商 来 完成 。 


4. 服务 


CD 根据 用 户 的 需求 提供 VPN 组 网 方案 。 

。 设备 选 型 。 

。 网 络 设计 。 

(2) 专线 接 入 CHINANET ,为 用 户 提供 VPN 公用 网 络 基 础 。 

* DDN 

* Frame Relay 

* DSL 

(3) 安装 调试 ,根据 用 户 的 具体 需求 ,可 以 选择 以 下 两 种 配置 方案 。 
* 建立 IP Tunel( 逻 辑 隧道 ) 方 式 。 

* IP Tunel( 逻 辑 隧道 ) 与 数据 加 密 相 结合 的 方式 。 


5. 业务 优势 


VPN 不 但 是 一 种 产品 ,更 是 一 种 服务 。VPN 通过 公众 网 络 建立 私有 数据 传输 通道 ， 
将 远程 的 分 支 办 公 室 .商业 伙伴 ,移动 办 公 人 员 等 连接 起 来 。 可 减轻 企业 的 远程 访问 费用 
负担 ,节省 开支 ,并 且 可 提供 安全 的 端 到 端的 数据 通信 方式 。VPN 兼备 了 公众 网 和 专用 
网 的 许多 特点 ,将 公众 网 可 靠 的 性 能 、 扩 展 性 、 丰 富 的 功能 与 专用 网 的 安全 、 灵 活 、 高 效 结 
合 在 一 起 ,可 以 为 企业 和 服务 提供 商 带 来 以 下 益处 : 

(1) 显著 降低 了 用 户 在 网 络 设备 的 接 入 及 线路 的 投资 。 

(2) 采用 远程 访问 的 公司 提前 支付 了 购买 和 支持 整个 企业 远程 访问 基础 结构 的 全 部 
费用 。 

(3) 减 小 了 用 户 网 络 运 维和 人 员 管 理 的 成 本 。 

(4) 网 络 使 用 简便 ,具有 可 管理 性 、 可 扩展 性 。 

(5) 公司 能 利用 无 处 不 在 的 Internet 通过 单一 网 络 结构 为 分 支 机 构 提 供 无 缝 和 安全 
的 连接 。 

(6) 能 加 强 与 用 户 、 商 业 伙 伴 和 供应 商 的 联系 。 运 营 商 ,ISP 和 企业 用 户 都 可 从 中 
获 益 。 

6. VPN 安全 技术 


VPN 可 以 采用 多 种 安全 技术 来 保证 安全 。 这 些 安全 技术 主要 有 半 隧 道 (tunneling) 
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技术 .加密 / 解 密 (encryption&-decryption) 技 术 、 密 钥 管理 (key management) 技 术 和 身份 
认证 (Cauthentication) 技 术 等 ,它们 都 由 隧道 协议 支持 。 

(1) 隧道 技术 

隧道 技术 是 VPN 的 基本 技术 ,类 似 于 点 对 点 连接 技术 。 它 是 在 公司 网 络 上 建立 一 
条 数据 通道 (隧道 ) ,数据 包 通 过 这 条 隧道 传输 。 使 用 隧道 传递 的 数据 可 以 是 不 同 协议 的 
数据 帧 或 包 。 隧 道 协 议 将 这 些 其 他 协议 的 数据 帧 或 包 重 新 封装 在 新 的 包头 中 发 送 。 新 的 
包头 提供 了 路 由 信息 ,从 而 使 封装 的 负载 数据 能 够 通过 互联 网 络 传递 。 被 封装 的 数据 包 
在 隧道 的 两 个 端点 之 间 通 过 公共 网 络 进行 路 由 。 

(2) 加 密 / 解 密 技 术 

加 密 / 解 密 技术 是 在 VPN 应 用 中 将 认证 信息 .通信 数据 等 由 明文 转换 为 密 文 和 巾 密 
文 变 为 明文 的 相关 技术 ,其 可 靠 性 主要 取决 于 加 密 /解密 的 算法 及 强度 。 

G) 密 钥 管 理 技术 

密 钥 管 理 技术 的 主要 任务 是 如 何在 公用 数据 网 上 安全 地 传递 密 钥 。 现 行 密 钥 管理 技 
术 分 为 SKIP 和 ISAKMP/OAKLEY 两 种 。SKIP 协议 主要 是 利用 Diffie-Hellman 算法 
法 则 ,在 网 络 中 传输 密 钥 ;在 Internet 安全 连接 和 密 钥 管 理 协议 (ISAKMP) 中 ,双方 都 有 
两 个 密 钥 ,分 别 用 于 公用 和 私 用 。 

(4) 身份 认证 技术 

在 正式 的 隧道 连接 开始 之 前 ,VPN 要 运用 身份 认证 技术 确认 使 用 者 和 设备 的 身份 ， 
以 便 系统 进一步 实施 资源 访问 控制 或 用 户 授权 。 


7. VPN 的 安全 性 


(1) 密码 与 安全 认证 。 
(2) 扩展 安全 策略 。 
(3) 日 志 记 录 。 


104 项 目 实 施 


任务 10-1 电子 邮件 安全 应 用 实例 


1. Web 邮箱 安全 应 用 实例 


Web 邮箱 有 很 多 种 ,用 户 可 根据 个 人 习惯 选择 合适 的 邮箱 。 下 面 以 163 邮箱 为 例 ， 
介绍 Web 邮箱 的 安全 配置 。 

(1) 防 密码 嗅 探 

163 邮箱 在 登录 时 采用 了 SSL 加 密 技术 , 它 对 用 户 提交 的 所 有 数据 先进 行 加 密 , 然 后 
再 提交 到 网 易 邮箱 ,从 而 可 以 有 效 防止 黑客 瓷 取 用 户 名 、 密 码 和 邮件 内 容 , 保 证 了 用 户 邮 
件 的 安全 ,用 户 在 输入 用 户 名 和 密码 时 ,选择 “SSL 安全 登录 ” 即 可 实现 该 功能 。 当 用 户 
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单 击 “登录 ?或 并 按 Enter 键 后 ,会 发 现 地 址 栏 中 的 “http://” 瞬 间 变 成 “https://”, 之 后 又 
恢复 成 “http://”, 这 就 是 SSL 加 密 登 录 , 如 图 10-1 所 示 。 


登录 163 免 费 邮 箱 
账号 或 手机 号 @163.com 
密码 [前 登录 
Diets 团 SSL 安 全 登录 区 忘记 密码 ? 
邮箱 版 本 点 认 版 本 ~ 注册 网 易 免费 邮 
WAAMA pang [ams] 


10-1 163 邮箱 登录 


(2) 来 信 分 类 功能 

邮箱 的 来 信 分 类 功能 是 根据 用 户 设 定 的 分 类 规则 ,将 来 信 投 入 指定 文件 夹 ,或 者 拒 收 
来 信 。 这 样 , 不 仅 能 够 防止 垃圾 邮件 ,还 可 以 过 滤 掉 一 些 带 病毒 的 邮件 ,减少 病毒 感染 的 
机 会 。 

登录 网 易 邮箱 , 单 击 “ 设 置 ", 进 入 “邮箱 设置 "界面 。 选 择 左 侧 的 “来 信 分 类 ”一 “新 建 
来 信 分 类 ”, 打 开 “ 编 辑 分 类 规则 ”界面 ,设置 分 类 规则 ,如 图 10-2 所 示 。 
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图 10-2 来 信 分 类 


(3) 反 垃 圾 邮件 处 理 
默认 情况 下 ,网 易 邮 箱 具 有 反 垃 圾 邮件 的 功能 ,用 户 通 过 单 击 “设置 ">“ 反 垃圾 /黑白 
名 单 ”>“ 反 垃圾 规则 ”, 打 开 “ 反 垃圾 级 别 ” 界 面 ,如 图 10-3 所 示 。 
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图 10-3 反 垃 圾 邮件 处 理 


(4) 黑 名 单 和 白 名 单 
用 户 通 过 单 击 “ 设 置 ”>“ 反 垃圾 /黑白 名 单 ”>“ 黑 白 名 单 设置 ”, 打 开 黑 白 名 单 设置 界 
面 ,如 图 10-4 所 示 。 


星 黑 名 单 如 果 发 件 人 在 黑 名 单 中 ， 则 拒 收 其 邮件 


+ 添加 黑 名 单 


A, EIER 梅 发 件 人 添加 到 白 名 单 中 ,可 庆 开 反 垃 圾 误 判 


+ 添加 白 名 单 


10-4 ”黑白 名 单 的 设置 


2. Foxmail 客户 端 软件 的 安全 配置 


(1) 邮箱 访问 口令 

由 于 邮件 客户 端 软件 将 多 个 电子 邮件 账户 实时 登录 在 计算 机 上 ,因此 为 了 防止 当 用 
户 离 开 自 己 计算 机 时 被 别人 非法 查阅 邮件 信息 ,最 好 为 邮箱 设置 账户 访问 口令 。 布 击 要 
添加 密码 的 账户 ,选择 “账号 访问 口令 (C)”, 弹 出 “设置 访问 口令 ”对 话 框 ,可 设置 密码 ,如 
图 10-5 所 示 。 

设置 完成 后 ,在 所 加 密 账 户 上 显示 了 “黄色 开锁 小 锁 ” 的 状态 ,证 明了 该 账户 已 经 被 加 
密 了 , 当 以 后 打开 该 账户 的 时 候 , 便 是 一 个 “ 蓝 色 锁 住 小 锁 ” 状 态 。 随 后 会 弹出 输入 口令 的 
窗口 ,只 有 输入 正确 的 口令 才能 够 解密 ,此 时 小 锁 又 变 成 “黄色 开锁 小 锁 " 状 态 , 这 时 才 可 
以 查看 此 邮箱 中 的 邮件 信息 。 

(2) 垃圾 邮件 设置 

某 种 程度 上 ,对 垃圾 邮件 的 定义 可 以 是 那些 人 们 没有 意愿 去 接收 到 的 电子 邮件 都 是 
垃圾 邮件 。 比 如 : 商业 广告 .政治 言论 .蠕虫 病毒 邮件 恶意 邮件 等 。Foxmail 最 引 以 为 豪 
的 就 是 它 的 贝 叶 斯 过 滤 和 黑白 名 单 的 反 垃 圾 邮件 功能 。 用 户 通过 单 击 *Foxmail 的 管理 
选项 ”>“ 设 置 …”, 打 开 “ 系 统 设 置 ” 对 话 框 ,选择 “ 反 垃圾 ”选项 卡 , 它 包括 邮件 过 滤 、 黑 名 
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单 和 白 名 单 , 如 图 10-6 所 示 。 


10-5 给 邮箱 设置 访问 口令 


O 使 用 Foxmail 反 垃圾 数据 库 过 淤 垃圾 邮件 (Beta) 


10-6 “ 反 垃 圾 ”选项 卡 


在 邮件 过 滤 中 有 两 个 选项 ,一 个 是 “使 用 贝 叶 斯 过 滤 垃 圾 邮件 ”, 它 是 一 种 智能 型 的 反 
垃圾 邮件 设计 , 它 通过 让 Foxmail 不 断 地 对 垃圾 与 非 垃圾 邮件 的 分 析 学 习 , 来 提高 自身 对 
垃圾 邮件 的 识别 准确 率 。 另 一 个 是 “使 用 Foxmail 反 垃圾 数据 库 过 滤 垃 圾 邮件 ”。 

在 “ 黑 名 单 ” 选 项 卡 中 ,用 户 只 需要 单 击 “ 添 加 ”按钮 ,将 一 些 确认 的 垃圾 邮件 地 址 输入 
到 黑 名 单 中 ,就 可 完成 对 该 邮件 地 址 发 来 的 所 有 邮件 的 监控 ,如 图 10-7 所 示 。 
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107 黑 名 单 的 设置 


在 * 白 名 单 ” 选 项 卡 中 用 户 只 需要 单 击 “ 添 加 ”按钮 ,将 一 些 确认 不 是 垃圾 邮件 的 地 址 
输入 到 白 名 单 中 ,就 可 完成 对 该 邮件 地 址 发 来 的 所 有 邮件 的 监控 ,如 图 10-8 所 示 。 


图 10-8 白 名 单 设置 
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任务 10-2 Internet 电子 其 骗 防 范 实例 


对 合法 用 户 进行 IP 十 MAC 十 端口 绑 定 ,可 防止 恶意 用 户 通 过 更 换 自己 地 址 后 上 网 的 
行为 。 

现 以 锐 捷 S2126G 交换 机 为 例 介 绍 TP 地 址 与 MAC 地 址 和 端口 的 绑 定 设置 ,如 图 10-9 
所 示 。 


图 10-9 网 络 拓扑 图 


1; 工作 原理 
交换 机 检查 接收 的 IP 包 , 不 符合 绑 定 的 被 交换 机 丢弃 。 
2. 配置 命令 


根据 上 面 的 网 络 拓 扑 图 ,进行 个 人 计算 机 TP 地 址 和 交换 机 的 配置 ,PC 的 IP 地 址 很 
简单 ,这 里 就 不 袭 述 了 ,主要 是 交换 机 的 配置 命令 ,具体 如 下 。 

CD 在 端口 F0/1 上 绑 定 IP 为 192. 168. 1. 1L MAC 为 00-15-58-28-35-97 的 主机 。 

(2) 进入 全 局 配置 模式 。 


Switch#configure terminal 
(3) 进入 端口 1 配置 模式 。 

Switch (config)#interface fastethemet 0/1 
(4) 把 端口 模式 改 为 access。 

Switch (config- if)#switchport mode access 
(5) 启用 端口 安全 设置 。 

Switch (config- if)#switchport port- security 
(6) 设置 最 多 允许 的 MAC 地 址 数 。 


Switch (configr if)#switchport port- security maximum 1 
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(7) 端口 十 MAC 地 址 十 IP 地 址 绑 定 。 

Switch (config- if)#switchport port- security mac- address 0015.5828.3597 ip- 
address 192.168.1.1 

Switch (config- if)#end 

(8) 将 配置 保存 并 写 人 交换 机 中 。 


Switch#wr 
3. 测试 方法 


在 S2126G 上 启用 端口 安全 , 绑 定 端口 IJP.MAC,PC1 可 以 ping ili PC2。 
期 望 目标 : 修改 PCI 的 端口 .IP、MAC,PCI1 不 能 ping iii PC2。 


4. 测试 结果 


经 过 上 面 的 配置 之 后 ,PC1 开始 ping PC2 是 可 以 ping 通 的 ,如 图 10-10 所 示 。 


ping 15 


Min imum 


图 10-10 PC1 没 改 MAC 地 址 之 前 ping 的 状态 


修改 PCI 的 端口 .IP、MAC 之 后 ,PC1 就 不 能 ping 通 PC2 了 ,如 图 10-11 所 示 。 


4 ©1808x lo: 


Æ 10-11 PC1 改变 之 后 ping 的 状态 


任务 10-3 VPN 的 配置 与 应 用 实例 


1. VPN 服务 器 的 安装 


COD 首先 单 击 任 务 栏 中 “开始 ”>“ 管 理工 具 ”>“ 服 务 器 管理 器 ”, 如 图 10-12 所 示 。 
(2) 在 服务 器 管理 器 中 添加 角色 “网 络 策略 和 访问 服务 ”, 并 安装 以 下 角色 服务 ,如 
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图 10-13 所 示 。 


了 


C) 上 次 B 疡 时 间 : 今天 15:21 EEN 


10-12 服务 器 管理 器 


[ Active Directory Rights Management Services 
C Active Directory 联合 身份 验证 服务 

C Active Directory 既 型 目录 服务 

C Active Directory 域 服务 

C Active Directory 证 书 服务 

O DHC 服务 器 

C DONS 服 各 器 

日 Hyper-V 

C Web SEKIS) 

[ Windows Server Update Services 


Em «e [mw] 
图 10-13 添加 “网 络 策略 和 访问 服务 ”角色 


G) 两 次 单 击 * 下 一 步 ? 按 钮 。 选 择 * 路 由 和 远程 访问 服务 "及 相关 组 件 , 单 击 * 下 一 
步 ? 按 钮 ,如 图 10-14 所 示 。 
(4) 现在 确认 一 下 所 选择 的 组 件 是 否 正确 ,确认 后 单 击 “安装 ”按钮 ,如 图 10-15 
所 示 。 
C5) 现在 可 以 开始 安装 路 由 和 远程 访问 服务 了 ,如 图 10-16 所 示 。 
(6) 现在 可 以 看 到 已 经 将 这 个 服务 安装 好 了 ,如 图 10-17 所 示 。 
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= ces (Cmn. 
10-14 添加 “路 由 和 远程 访问 服务 "组件 


esme 若 要 安装 以 下 角色 、 角 色 服务 或 功能 ， 清单 二 “安装 ”。 
网 者 第 路 和 访问 服务 [ETT T 
角色 服务 
(D RIRE , 可 能 和 要 重新 启动 这 服务 器 . 

进度 (^ 网 络 第 辐 和 访问 服务 
路 由 和 远程 访问 服务 

远程 访问 服务 

mh 

DE. SIENRSUIBDGUBXHS 


[sse] T=" - | [mm] a) 
图 10-315 “确认 安装 选择 ”页 面 
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< rp) | Fen) > | [ sm [73 
图 10-16 ”安装 进度 


Â 未 启用 Windows 自动 更 新 。 为 确保 自动 更 新 量 新 安 竺 的 角色 或 功能 , 请 启用 “控制 面 
板 ” 中 的 Windows Update, 


[so] [下 -Nm | mn) | wm 


图 10-17 安装 结果 


CD 从 图 10-17 中 可 以 看 出 , Windows 自动 更 新 功能 没有 开启 ,没有 关系 ,只 要 启动 
就 可 以 了 。 

单 击 “开始 ”一 “管理 工具 ”一路 由 和 远程 访问 ”, 如 图 10-18 所 示 。 

(8) 在 列 出 的 本 地 服务 器 (WIN-NHI72D78E5S) 上 碳 击 并 选择 “配置 并 启用 路 由 和 
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» B WIN-NHI72D78E5s (本 地 )| ”欢迎 使 用 路 由 和 远程 访问 

路 由 和 远程 访问 提供 到 专用 网 络 的 安全 远程 访问 。 
使 用 路 由 和 远程 访问 配置 下 列 内 容 : 

， 两 个 专用 网 络 之 间 的 安全 连接 。 


请 在 "BE" SUL. Sb “添加 有 


a 、 部 署 情况 及 疑难 解 管 的 详细 信息 ， 请 


图 10-18 “路 由 和 远程 访问 ”界面 


RE 
您 可 以 启用 下 列 服务 的 任意 组 合 ， 或 者 您 可 以 自 定义 此 服务 器 。 


G 远程 访问 dE, VPN) R) 
REE RE REAREA omo Internet 连接 来 连接 到 

C 网 络 地 址 转换 QUT) Œ) 
多 许 内 部 客户 滑 使 用 一 个 公共 IP 地 址 连接 到 Interneto 

C 虚拟 专用 网 络 WP 了 访问 和 NAT V) 
fups jd Internet jEHEBIBUR S 23». FHEARRA- 
ZIP Interneto 

C 两 个 专用 网 络 之 间 的 安全 连接 s) 
将 此 网 络 连 接 到 一 个 远程 网 络 ， 例 如 一 个 分 支 机 构 * 


C 自 定义 配置 C) 
选择 在 路 由 和 运程 访问 中 的 任何 可 用 功能 的 组 合 * 
Artma 


E50) 


图 10-19 “配置 并 启用 路 由 和 远程 访问 ”安装 向 导 


O) 如 果 服 务 器 有 两 张 网 卡 , 选 择 “ 远 程 访 问 (拨号 或 VPN)”。 如 果 只 有 一 张 网 卡 ， 
则 选择 自 定义 配置 并 在 下 一 步 中 选择 VPN。 此 台 计 算 机 只 有 一 张 网 卡 , 故 选择 自 定义 配 
置 ,如 图 10-20 所 示 。 

(10) 注 , 同 时 选择 NAT(A), 然 后 就 可 以 完成 了 。 单 击 “ 完 成 ”按钮 后 ,出 现 如 
图 10-21 所 示 的 内 容 , 让 你 启动 服务 。 

(11) 单 击 “ 启 动 服务 ”后 ,VPN 服务 器 即 安装 完毕 。 
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自 定义 配置 
关闭 此 向 导 后 ， 您 可 以 在 路 由 和 运程 访问 控制 台中 配置 选择 的 服务 * 


选择 您 想 在 此 服务 器 上 启用 的 服务 。 
Iv vex ibis v) 


T 拨号 访问 四 ) 

厂 请 求 拨号 连接 (由 分 支 机 构 路 由 使 用 ) E 
F MIO) 

T- LAN 路 由 0 


«E45 0) )[p—5 00 » 


10-20” 自 定义 配置 


正在 完成 路 由 和 远程 访问 服务 器 安装 向 导 


您 已 成 功 完成 路 由 和 远程 访问 服务 器 安装 向 导 。 


启动 服务 
路 由 和 远程 访问 服务 已 处 于 可 用 状态 。 


2s | 


EDERE 
着 要 关闭 此 向 导 ， 请 单 击 “ 完 成 ”。 


CESO m ) 


1o-21 完成 后 启动 服务 


2. VPN 服务 器 的 配置 


d) 配置 VPN 的 IP 地 址 分 配方 式 : 在 “路 由 和 访问 ”窗口 中 右 击 “WIN- 
NHI72D78E5S( 本 地 )” 并 选择 “属性 ”命令 , 转 到 IPv4 标签 页 ,如 图 10-22 所 示 。 

(2) 这 里 可 以 选择 “动态 主机 配置 协议 ”或 “静态 地 址 池 ”。“ 动 态 主 机 配置 协议 ”需要 
有 DHCP 服务 器 ,因为 涉及 DHCP 服务 器 的 配置 等 ,这 里 只 做 简单 设置 ,就 选择 “静态 地 
址 池 ” 选 项 ,添加 一 个 地 址 段 ,如 图 10-23 所 示 。 

(3) 这 里 选用 的 是 192. 168. 1. 200 一 192. 168. 1. 249 共 50 个 地 址 ,这 时 候 主机 一 定 
Æ 192. 168. 1. 200 ,就 是 地 址 池 的 第 一 个 地 址 。 于 是 RRAS 的 配置 已 经 完成 了 ,我们 可 以 
转 到 NPS 中 去 。 
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常规 | 安全 | IPv4 
Iv 启用 IPv4 转发 四 ) 


Ire 地 址 分 配 

此 服务 器 分 配 Inv 地 址 使 用 的 是 ; 
G 动态 主机 配置 协议 ocr) OD. 
个 基态 地 址 池 5) 


C 动态 主机 配置 协议 ocr) 0D 


- 


IV. 启用 广播 名 称 解 析 人) 


输入 一 个 起 始 Ir 地 址 ， 和 结束 IP 地 址 或 范围 中 的 地 址 效 * 


起 始 rr 地 址 5); IE 168.1 .200 
二 - " 
5500. IRR E) WER AR r btw: EE 


iito: [ 9 


Ca | 


10-22 IPv4 选项 卡 


[ae | 


WA )] ERO | 


10-23 ”添加 静态 地 址 池 


(4) 在 “开始 "一 “管理 工具 一 “网 络 策略 服务 器 "中 打开 NPS, NPS 内 置 了 一 个 用 
于 拨号 或 VPN 连接 的 RADIUS 服务 器 配置 。 直 接 选择 这 一 项 ,打开 向 导 , 如 图 10-24 


所 示 。 


e [reri ETUDES PI RINSO FRE HAEA PSU . 连接 请 求 身 


mmm 
MSBKHSGRSI—KEIRESS AETERNA e 


O wu 


图 10-24 ”网络 策 略 服务 器 


(5) 选择 “配置 NAP”, 出 现 选 择 拨号 或 虚拟 专用 网 络 连接 类 型 ,如 图 10-25 所 示 。 
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A; 选择 拨号 或 虚拟 专用 网 络 连接 类 型 


个 拨号 连接 中) 
SIRUMPERTIFBIER GEL v5 SUNT URS SEDIESR USUS 
O BERGER TRE V) 

PETERT vr RAEN. ms DUNSONTUBSSEOUNA GRAM) ry opta 


名 称 : 
此 有 Mi 认 文本 被 用 作 使 用 该 向 导 键 的 每 个 策略 名 称 的 一 部 分 。 您 可 以 使 用 默认 文本 ， 也 可 以 修改 它 T 
1 


] 
| 


[EW ] [下 -= 步 中 ] zm ] 


10-25 选择 网 络 连接 类 型 


(6) 选择 “虚拟 专用 网 络 (VPN) 连 接 (V)”, 然 后 单 击 “ 下 一 步 ” 按 钮 。 


C) 添加 一 个 RADIUS 客户 端 , 取 一 个 友好 的 名 称 , 地 址 就 选 本 地 IP, 然 后 生成 一 个 
共享 机 密 ,当然 手动 输入 也 可 以 ,这 不 是 密码 ,如 图 10-26 所 示 。 


em 
|| Dua D 

[ 
inier 


友好 名 称 F); 
Inge 


地 址 CP R DNs) 0): 
127.0.0.1 


REGE 
选择 现 有 共享 机 密 模 板 00: 


©# OERO 
共享 机 密 ): 
TVyRSVLEn! zUxDzGAGZ fppidlADS" hC&nyS$NI inVpalldGo#po@ f. 


[EE | 


[wm o) 


图 10-26 ”添加 RADIUS 客户 端 
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(8) 单 击 “ 下 一 步 ?按钮 ,出现 配 置身 份 验证 方法 ,选择 默认 值 即 可 ,如 图 10-27 所 示 。 


A; 配置 身份 验证 方法 


zf, Microsoft UTETE GESENCL NDS 如 果 您 使 用 不 同 的 运程 访问 服务 器 ， 请 确保 


回 可 扩展 身份 验证 协议 an 
类 型 GET isl; D - 
[Microsoft: 要 保护 的 EAP PEAP) -| CREC.. ] 


Lon licrosoft Hr 2 OS-CHAPv2) 0) 
以 允许 用 户 指定 身份 验证 的 密码 > 


[ii erosoft. 加 密 的 身份 验证 MS-CHAP) A) 
如 果 您 的 由 络 运行 的 操作 系统 不 支持 NS-CHAPv2， 


， 请 选择 此 选项 。 


10-27 配置 身份 验证 方法 


(9) 单 击 “下 一步 ?按钮 ,出 现 选 择 组 的 信息 , 因 这 里 选择 了 MS-CHAPV2 认证 ,那么 
需要 指定 授权 给 VPN 拨 入 的 用 户 组 。 这 里 添加 了 Administrators 和 Users 组 。 最 好 是 
新 建 一 个 新 组 ,专门 用 于 VPN 接 入 ,这 里 简略 用 了 现成 的 用 户 组 ,如 图 10-28 所 示 。 


指定 用 户 组 


BATARE “访问 权限 ”的 设置 ， 将 允许 或 拒 况 属于 一 个 或 多 个 过 定 姐 破 贡 的 同 户 进行 访 


ERO: (ies -) 
mto: (snos 


口音 用 的 帐户 @) 
口 不 过 期 密码 0%) 


SEXE IY D 


Bi Cryptographic Operators YIN-NHIT2DT. 
EIN mean 


10-28 指定 用 户 组 
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(10) 下 几 步 的 IP 筛选 器 ,指定 加 密 设置 指定 一 个 领域 名 称 , 均 取 默认 值 。 
(11) 最 后 完成 的 效果 如 图 10-29 所 示 。 


d 完成 新 建 拨号 或 虚拟 专用 网 络 连接 和 RADIUS 客户 端 


您 已 成 功 创建 了 以 下 第 略 ， 并 配置 了 以 下 NS FAR 
| 

EPI Las 
a oss 


图 10-29 SER NPS 的 配置 


(12) 给 VPN 连接 建立 账户 。 

在 “开始 ”一 “管理 工具 ”一 “服务 器 管理 ”中 ,打开 “配置 ”~“ 本 地 用 户 与 组 ”一 “用 户 ”， 
右 击 右边 窗口 并 新 建 一 个 用 户 VPN ,设置 密码 为 123456。 新 用 户 默 认 隶属 于 Users 组 ， 
已 经 具备 VPN 拨 入 权限 ,如 图 10-30 所 示 。 


xn BEA 
es 20 
Ga 服 务 器 管理 器 (WIN| MARV: vpn 
"各 角色 
Pd ces 全 名 中 : 
> mne oto) 
^ gi mm 
H : ZBO): osese 
b ganze 
pr 确认 密码 C5); eooooo 
二 WMI 控件 |】 ORATAERNTEAEG 00 
8 团 用 户 不 能 更 汐 密码 5) 
BR | menki 
me FIRPEMR O) 
> Bea 
Camo) Co) (o) 
1 E F 


10-30 ”建立 新 用 户 VPN 
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3. 测试 VPN 连接 


CD 在 “网 络 与 共享 中 心 ? 里 单 击 "设置 新 的 连接 或 网 络 " 打 开 向 导 , 选 择 连 接 到 工作 
区 ,如 图 10-31 所 示 。 


您 想 如 何 连接 ? 


> 使 用 我 的 Internet 连接 (VPN)(1) 
通过 Internet 使 用 虚拟 专用 网 络 (VPN) 来 连接 


& 9 > 


> 直接 拨号 (D) 
E 


什么 旺 VPN jii? 


10-31 连接 到 工作 区 


(2) 选择 第 一 项 “使 用 我 的 Internet 连接 (VPN)(D”, 因 是 测试 ,地 址 就 选择 本 地 地 
址 ,如 图 10-32 所 示 。 


键入 要 连接 的 Internet 地 址 


10-32 ”选择 地 址 
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(3) 单 击 “下 一 步 ?按钮 ,输入 用 户 名 和 密码 ,如 图 10-33 所 示 。 


输入 您 的 用 户 名 和 密码 


RARU: lins 


EBP): 


10-33 ”用户 名 及 密码 输入 框 


(4) 单 击 “ 连 接 ” 按 钮 ,开始 尝试 连接 ,并 验证 用 户 名 和 密码 ,成 功 后 提示 用 户 已 经 完 
成 连接 ,至 此 拨 入 成 功 。 查 看 信息 ,可 以 看 到 已 经 取得 ,之 前 分 配 的 192. 168. 1. 201 这 个 
IP 地 址 ,如 图 10-34 所 示 。 


值 
YAN Miniport (PPTP) 


192. 168. 1.201 
192. 168. 1.200 


非 HAP 适用 
体 知 ) 
127.0.0.1 


Æ 10-34 VPN 连接 状态 


至 此 ,完成 了 整个 实例 。 这 只 是 从 最 简单 的 内 容 入 手 , 并 在 Windows Server 2008 环 
境 下 架设 一 台 VPN 服务 器 的 简单 案例 。 要 实现 VPN 功能 并 投入 实际 使 用 ,还 有 许多 细 
节 需 要 继续 完善 。 
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任务 10-4 Internet Explorer 安全 应 用 实例 


1. Internet 安全 设置 


这 里 以 Internet Explorer 8 为 例 说 明 。 打 开 Internet Explorer, 单 击 菜单 栏 中 的 “ 工 
R."—"Internet 选项 ”, 打 开 “ 安 全 ”选项 卡 。 在 “安全 ”选项 卡 中 选择 Internet, 就 可 以 针对 
Internet 区 域 的 一 些 安全 选项 进行 设置 。 虽 然 有 不 同 级 别 的 默认 设置 ,但 最 好 是 根据 自 
己 的 实际 情况 亲自 调整 一 下 , 单 击 下 方 的 “ 自 定义 级 别 ”, 这 里 就 显示 出 具体 组 件 的 设置 ， 
如 图 10-35 所 示 。 


Internet EE 00 
maze mua) ` 
JSSEREBESEE HORE? SEA 
Internet 
intrent 
Internet 
Q uus 
该 区 域 和 安全 织 别 中 
BEX : 
E 4 重新 启动 Internet Explorer 之 后 生效 
重 村 自 定义 设置 
ANES S880 [高 Gi) -) Eo 
CE J) m 
aE ET ERW 


图 10-35 Internet 区 域 自 定义 安全 级 别 的 设置 


在 这 里 需要 说 明 一 点 ,对 于 I 下 8 安全 级 别 只 有 “高 "(默认 ) ,无 法 更 改 ,解决 办 法 如 下 。 

直接 按 下 Win 十 r 组 合 键 ,在 “运行 ”对 话 框 中 输入 regedit. 打开 注册 表 编 辑 器 ,找到 
HKEY LOCAL _ MACHINE\Software\ Microsoft\ Windows\CurrentVersion\ Internet 
Settings\Zones\3 分 支 ,将 右 侧 的 滚动 条 拉 到 最 下 面 ,找到 MinLevel, 将 MinLevel 修改 为 
“10000”( 十 六 进 制 ) , 单 击 “ 确 定 ” 按 钮 即 可 ,如 图 10-36 所 示 。 


2. 可 信 站 点 的 安全 设置 


TE" Internet 选项 ”的 “安全 ”选项 卡 下 单 击 “ 受 信任 的 站 点 ”, 然 后 单 击 “ 站 点 ”按钮 ,在 
新 窗口 中 输入 希望 添加 的 网 络 地 址 (例如 : http://www. lnqg. com. cn) ,然后 单 击 右 侧 的 
“添加 ”按钮 即 可 ,如 图 10-37 所 示 。 


3. 隐私 (Cookie) 安 全 设置 


大 部 分 用 户 关于 隐私 方面 的 设置 ,基本 不 会 设置 ,也 不 知道 如 何 设置 ,泄露 个 人 信息 
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Cow) REGDWORD ^ 0400000003 (3) 


REG DWORD /0x00000000 (0) 


| EE ^| en zm E ~ 
| REG DWORD. 000000003 (3) 
| REG DWORD 000000003 (3) 
| 数值 名 称 00D); REG_DWORD 0x00000003 (3) 
| MinLevel REG_DWORD 0x00000000 (0) 
| | samem: 基数 REG_DWORD 0x00000003 (3) 
| @ 47i on REG. DWORD 000000003 (3) 
| ©+ 进 制 中 REG DWORD 000000003 (3) 
| REG DWORD 0x00000000 (0) 
| 

| 

| 

| 


Li Previewtandlers EÒ Currentlevel — REG DWORD. 000012000 (73728) 
| | »-.Ji PropertySystem a8) Description. REG SZ This zone is for Internet we 
| | | | bj Reliability 加 DisplayName ^ REG SZ Internet. 
| b>- RenameFiles 圈 hags REG_DWORD /0x00000001 (1) 
| Ji Run al) Icon. REG SZ inetcpl.cpl£001313 
Ji RunOnce. sli Lowlcon REG SZ inetcpl.cpls005425 
| uj Setup E Minteve! REG_DWORD 0x00010000 (65536) 
| | HE Sheredous 28)PMDisplayName REG SZ Internet [Protected Mode] 
| | P Shell Extensions || fSRecommende.. REG DWORD 0x00012000 (73728) - 
人 


http: //update. microsoft. con 

http: //vindowsupdate. microsoft. con 
http: //rrv. lnqg con. cn. 

http://www. microsoft. con. 


因 对 该 区 域 中 的 所 有 站 点 要 求 服务 器 验证 https;) 8) 


LA j 


加 启用 保护 模式 唱 求 重新 启动 Internet Explorer) P) 
X (Crises) ] 


(we) Lm.) ( ems 


图 10-37 可 信任 站 点 的 设置 


最 多 的 就 是 这 个 。 关 于 Cookie 的 作用 ,可 以 用 “天 使 ”与 “魔鬼 ”来 形容 , 它 可 以 让 互联 网 
服务 供应 商 更 贴心 地 为 用 户 服务 ,但 是 也 让 别人 知道 用 户 的 信息 太 多 ,而 且 知 道 的 人 不 止 
一 个 。 以 下 操作 可 使 之 保持 平衡 。 

(1) 减少 第 三 方 Cookie 

打开 “Internet 选项 ”中 的 “隐私 ”选项 卡 , 然 后 选择 单 击 “ 高 级 (V)”, 打 开 “ 高 级 隐私 设 
置 ” 对 话 框 ,选择 “替代 自动 Cookie 处 理 ”, 设 置 阻止 第 三 方 Cookie, 并 选择 “总 是 允许 会 话 
Cookie(W)”, 如 图 10-38 所 示 。 
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BENIS Cookie 0) 


InPrivate 
回 各 收集 用 于 Infrivate SERBSÉHR C) 
国 在 Inprivste 浏览 启动 8 禁用 工具 栏 和 扩展 0) 


Coe) [mmo ] 


10-38 针对 Cookie 的 高 级 设置 


(2) 阻止 危险 网 站 利用 Cookie 

还 是 在 “隐私 ?选项 卡 单 击 “ 站 点 ”按钮 ,输入 需要 的 网 址 后 , 单 击 “阻止 按钮 “人 允许 ” 
按钮 是 给 反 向 设置 用 的 ,也 就 是 说 对 外 禁用 Cookie, 只 允许 列表 中 站 点 使 用 Cookie, 如 
图 10-39 所 示 。 


管理 法 点 
Si 知人 可 从 人 用 Cookie BEA, TENDARE 
， 然 后 单 击 “允许 ”或 “ 阳 止 ”。 
着 要 从 托管 站 点 列表 中 遇险 点 ， 请 选择 网 站 名 称 并 单 击 “ 册 际 ” 按 思 。 
Feitt: 
] Caro 
NECI EUM) 
弹出 窗口 阻 由。 托管 网 站 6): 
a fas E Lj 
Sldytt. info 总 是 阻止 
ivas 
« 
Cox) 


10-39 ”隐私 站 点 设置 
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4. Internet 内 容 的 安全 设置 


打开 “Internet 选项 ”中 的 “内 容 ” 选 项 卡 , 可 以 看 到 有 “内 容 审 查 程序 ”“ 证 书 ”“ 自 动 
完成 ?和 * 源 和 网 页 快讯 ”四 栏 , 可 以 根据 需要 设置 ,如 图 10-40 所 示 。 


5. Internet 的 高 级 安全 设置 


打开 “Internet 选项 ”的 “高 级 ”选项 卡 , 可 根据 实际 情况 对 “设置 "中 的 各 “安全 ”项 进 
行 具体 设置 ,如 图 10-41 所 示 。 


x. ze [mu |ne [sm [ug [me 


an [安全 |mu [mg [sm [程序 |28 
设置 


GAARDE LERA Internet 内 区 许 运行 或 支 装 软件， 即使 签名 无 效 ^ 
IV 在 安全 和 非 二 模式 之 间 切 换 时 发 出 警告 
CERO.) vemm 月 从 地 址 栏 中 搜索 
ut O TERIS HR IIUUIE 
一 全 用 加 本 过 接 和 RiE 书 。 EE 
R 打印 背景 颜色 和 图 从 
mR) BO J ATAD "i 
` 国 启用 自动 图 像 大 小 调整 
自动 守成 国 RTA 
动 完 区 x 示 图 像 下 载 点 | 
F ARRIA eao Bp ed 
pus me F 
源 E 于 设置 0) — EIRE) Internet Explorer 之 后 生效 -— 


HE Internet Explorer 设置 


将 Internet Explorer 设置 重 置 为 默认 设置 。 Ja 
仅 在 浏览 器 处 于 无 法 使 用 的 状态 时 ， 才 使 用 此 设置 * 


i (908. [ERw ] i (m. [ mmo] 


图 10-40 “内 容 ” 选 项 卡 的 设置 图 10-41 “高 级 "选项 卡 的 设置 


105 拓展 提升 TH Intenet Bplorer 
增强 的 安全 配置 


Internet Explorer 增强 的 安全 配置 能 够 对 服务 器 和 Internet Explorer 进行 配置 ,该 
配置 可 降低 服务 器 暴露 在 通过 Web 内 容 和 应 用 程序 脚本 产生 的 潜在 攻击 之 下 的 可 能 性 。 
因此 ,一 些 网 站 可 能 无 法 正常 显示 或 无 法 正常 执行 。 


1. Internet Explorer 安全 区 域 
在 Internet Explorer 中 ,可 以 为 其 中 两 个 内 置 的 安全 区 域 “ 本 地 Intranet” 区 域 和 “ 受 
信任 的 站 点 ”区 域 配 置 安全 设置 。 无 法 更 改 Internet. 区 域 和 “ 受 限制 的 站 点 ”区 域 的 安全 
设置 。 
若 要 更 改 安全 设置 ,必须 以 管理 员 模 式 打开 Internet Explorer, 即 使 已 经 以 本 地 管理 
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员 的 身份 登录 也 是 如 此 。 若 要 以 管理 员 模 式 打开 Internet Explorer, 请 右 击 Internet 
Explorer, 然 后 单 击 “以 管理 员 身 份 运行 ”。 


Internet Explorer 增强 的 安全 配置 按照 如 下 方式 为 这 些 区 域 分 配 安全 级 别 。 

。 对 于 Internet 区 域 ,安全 级 别 设置 为 “高 ”。 

* 对 于 “受信 任 的 站 点 ”区 域 ,安全 级 别 设置 为 “中 ”, 即 允许 浏览 很 多 Internet 站 点 。 
。 对 于 “本 地 Intranet”" 区 域 ,安全 级 别 设置 为 “中 低 ”, 即 允许 将 自己 的 用 户 凭 据 ( 用 
户 名 和 密码 ) 自 动 发 送 给 需要 它们 的 站 点 和 应 用 程序 。 

对 于 “ 受 限 制 的 站 点 "区 域 , 安 全 级 别 设置 为 * 高 ”。 

默认 情况 下 ,所 有 Internet 和 Intranet 站 点 均 分 配 到 Internet 区 域 。Intranet 站 
点 不 属于 “本 地 Intranet” 区 域 ,除非 将 它们 明确 添加 到 此 区 域 中 。 


2. 启用 Internet Explorer 增强 的 安全 配置 时 如 何 进行 浏览 


增强 的 安全 配置 提高 了 服务 器 上 的 安全 级 别 , 但 它 也 会 以 下 列 方式 影响 Internet 浏览 。 

。 由 于 ActiveX. 控件 和 脚本 被 禁用 ,因此 Internet. 站 点 可 能 无 法 在 Internet 
Explorer 中 正常 显示 ,使 用 Internet 的 应 用 程序 也 可 能 无 法 正常 工作 。 如 果 你 信 
任 某 个 Internet 站 点 并 且 需 要 它 正 常 工作 , 则 可 以 将 该 站 点 添加 到 Internet 
Explorer 的 “受信 任 的 站 点 "区域 。 如 果 你 尝试 浏览 使 用 脚本 或 ActiveX. 控件 的 
Internet 站 点 , 则 Internet Explorer 将 提示 你 考虑 将 该 站 点 添加 到 “受信 任 的 站 
点 ”区域 。 仅 当 你 完全 确认 站 点 值得 信任 并 且 要 添加 的 URL 确实 正确 时 ,才能 
将 该 站 点 添加 到 “受信 任 的 站 点 "区域 。 有关 详细 信息 ,请 参阅 将 站 点 添加 到 受信 
任 的 站 点 区 域 。 

对 Intranet 站 点 的 访问 、 在 本 地 Intranet. 上 运行 的 基于 Web 的 应 用 程序 以 及 网 
络 共享 上 的 其 他 文件 都 可 能 受 限 制 。 如 果 你 信任 某 个 Intranet 站 点 或 共享 并 且 
需要 它 正常 工作 , 则 可 以 将 其 添加 到 “本 地 Intranet”" 区 域 。 有 关 详 细 信 息 , 请 参 
阅 将 站 点 添加 到 本 地 Intranet 区 域 。 


3. Internet Explorer 增强 的 安全 配置 的 影响 
Internet Explorer 增强 的 安全 配置 可 调整 现 有 安全 区 域 的 安全 级 别 。 表 10-1 介绍 


了 每 个 区 域 如 何 受到 影响 。 


表 10-1 受 影响 区 域 


区 域 | 安全 级 别 结 R 


Internet 高 
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该 区 域 与 “ 受 限制 的 站 点 ”区域 的 安全 设置 相同 。 默 认 情 况 下 ,所 有 
Internet 和 Intranet 站 点 均 分 配 到 该 区 域 。 由 于 脚本 、ActiveX 控件 和 文件 
下 载 已 被 禁用 ,因此 ,网 页 可 能 无 法 在 Internet Explorer 中 正常 显示 ,而 需 
要 该 浏览 器 的 应 用 程序 也 可 能 无 法 正常 工作 。 如 果 你 信任 某 个 Internet 站 
点 并 且 需 要 它 正常 工作 , 则 可 以 将 该 站 点 添加 到 Internet Explorer 的 “受信 
任 的 站 点 区域。 有关 详 细 信息 ,请 参阅 将 站 点 添加 到 受信 任 的 站 点 区 域 。 
对 通用 命名 约定 (UNC) 共享 上 的 脚本 、 可 执行 文件 以 及 其 他 文件 的 访问 
受 限 制 ,除非 将 该 共享 明确 添加 到 “本 地 Intranet X 
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续 表 
区 域 | 安全 级 别 结 R 
由 于 增强 的 安全 配置 ,访问 Intranet 站 点 时 ,可 能 会 重复 提示 你 提供 凭据 
(用 户 名 和 密码 )。 增 强 的 安全 配置 禁止 对 Intranet 站 点 的 自动 检测 。 如 
果 你 希望 将 凭据 自动 发 送 给 某 些 Intranet 站 点 , 则 将 这 些 站 点 添加 到 “本 
本 地 Intranet 中 低 


地 Intranet" 区 域 。 有 关 详 细 信 息 , 请 参阅 将 站 点 添加 到 本 地 Intranet 区 
域 。 不 要 将 Internet 站 点 添加 到 “本 地 Intranet” 区 域 ,因为 这 样 会 将 你 的 
和 凭据 自动 发 送 给 请 求 的 站 点 


该 区 域 用 于 你 信任 其 内 容 的 Internet 站 点 。 有 关 详 细 信息 ,请 参阅 将 站 
点 添加 到 受信 任 的 站 点 区 域 


该 区 域 包含 你 不 信任 的 站 点 ,例如 可 能 会 损害 你 的 计算 机 或 数据 的 站 点 
(如 果 尝 试 从 这 些 站 点 中 下 载 或 运行 文件 ) 


受信 任 的 站 点 m 


受 限制 的 站 点 高 


增强 的 安全 配置 还 调整 Internet Explorer 的 扩展 性 和 安全 设置 ,以 便 进 一 步 降 低 暴 
露 在 未 来 可 能 的 安全 威胁 之 下 的 可 能 性 。 这 些 设 置 位 于 Internet Explorer 中 “Internet 
选项 对话 框 的 “高 级 ”选项 卡 上 。 表 10-2 描述 了 受 影 响 的 设置 。 

表 10-2 受 影响 的 设置 


名 称 默认 设置 描述 
禁用 安装 用 来 与 Internet Explorer 一 起 使 用 的 
启用 第 三 方 浏览 器 扩展 禁用 | 功能 ,这 些 功能 可 能 是 由 Microsoft 以 外 的 其 他 
公司 创建 的 
在 网 页 中 播放 声音 禁用 ”| 禁用 音乐 和 其 他 声音 
在 网 页 中 播放 动画 禁用 ”| 禁用 动画 
自动 检查 网 站 的 证 书 ,以 查看 该 证 书 是 否 已 被 
nini idi 启用 | 吊销 ,如 果 有 效 再 接受 该 证 书 
困 EE " 
不 要 将 加 密 的 页 面 保存 到 磁盘 RN EIE a UE 
关闭 浏览 器 时 ,会 请 空 "Internet 临时 文 | upy | 关闭 浏览 器 时 ,会 自动 清除 "Internet 临时 文件” 
件 "文件 夹 XHK 
HERPARMEREERZHAEE| np AEEA E RI SURE AES GR 
改 时 发 出 警告 时 显示 警告 
NK 启用 数据 执行 保护 (DEP) 以 帮助 减少 联机 攻 
肩 用 内 存 保护 以 帮助 减少 联机 攻击 禁用 | 击 。 该 选项 仅 适用 于 Windows Server 2008 


这 些 更 改 会 减少 网 页 .基于 Web 的 应 用 程序 .本 地 网 络 资源 和 使 用 浏览 器 显示 帮助 、 
支持 及 常规 用 户 协助 的 应 用 程序 中 的 功能 。 

有 关 使 用 “本 地 Intranet” 或 “受信 任 的 站 点 "区域 的 包含 列表 的 详细 信息 ,请 参阅 “ 管 
理 Internet Explorer 增强 的 安全 配置 ”。 

当 Internet Explorer 增强 的 安全 配置 已 启用 时 ,具备 以 下 功能 。 

* 将 Microsoft Update 网 站 添加 到 “受信 任 的 站 点 ”区 域 。 这 允许 你 继续 获得 有 关 

你 的 操作 系统 的 重要 更 新 。 
。 将 Windows 错误 报告 站 点 添加 到 “受信 任 的 站 点 "区域 。 这 人 允许 你 报告 操作 系统 
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过 到 的 问题 并 搜索 解决 方案 。 

将 多 个 本 地 计算 机 站 点 (如 http://localhost、 https://localhost 和 hcp:// 
system) 添 加 到 “本 地 Intranet” 区 域 。 这 人 允许 应 用 程序 和 代码 在 本 地 工作 ,以 便 
完成 常用 的 管理 任务 。 

对 于 “受信 任 的 站 点 ”区 域 ,将 隐私 首选 项 平台 (P3P) 级 别 设置 为 “中 ”。 如 果 你 想 
更 改 除 Internet 区 域 之 外 的 任何 区 域 的 P3P 级 别 , 请 转 到 “Internet 选项 "对话 框 
的 “隐私 ?选项 卡 , 单 击 * 导 入 ”以 应 用 自 定义 隐私 策略 。 有 关 隐 私 策略 的 示例 ,请 
参阅 “如 何 创 建 自 定义 隐私 导入 文件 ”。 


4. Internet Explorer 增强 的 安全 配置 和 终端 服务 


根据 安装 类 型 ,将 增强 的 安全 配置 应 用 于 不 同 的 用 户 账户 。 表 10-3 描述 了 影响 用 户 
的 方式 。 


表 10-3 影响 用 户 的 方式 


meny | 增强 的 安全 配置 | 增强 的 安全 配置 | 增强 的 安全 配置 | ”增强 的 安全 配置 
适用 于 管理 员 ”| 适用 于 超级 用 户 | 适用 于 受 限 用 户 | 适用 于 受 限制 的 用 户 
a PEN 是 是 5 否 
umso. | a | | 
I. 是 是 是 是 


为 了 在 启用 终端 服务 时 获得 更 好 的 体验 ,应 该 从 * 用 户 ? 组 的 成 员 中 删除 “增强 的 安全 
配置 *。 这 些 用 户 对 服务 器 的 权限 较 少 ,因此 受到 攻击 时 他 们 的 风险 级 别 比 较 低 。 


5. Internet Explorer 增强 的 安全 配置 对 Internet Explorer 用 户 体验 的 影响 


表 10-4 描述 Internet Explorer 增强 的 安全 配置 如 何 影响 每 个 用 户 使 用 Internet 
Explorer 的 体验 。 


表 10-4 安全 配置 影响 用 户 体验 


" e 可 以 由 超级 可 以 由 受 限 | 可 以 由 受制 
ARRERA 用 户 完成 用 户 完成 | 的 用 户 完成 
启用 或 禁用 Internet 
Explorer 增强 的 安全 | 是 E 否 否 
配置 
是 。 A "E". 在 运行 
调整 Internet Explorer| 备注 : 只 能 更 改 “ 本 地 | Windows Server 2003 
中 特殊 区 域 的 安全 | Intranet" K JUR * 58 fii | 的 计算 机 上 ;为 “ 否 ”, 在 否 否 
级 别 任 的 站 点 ”区 域 的 安全 | 运行 Windows Server 
设置 2008 的 计算 机 上 
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续 表 
i " >] ax 


所 有 其 他 Internet Explorer 任务 都 可 以 由 所 有 用 户 组 完成 ,除非 你 选择 进一步 限制 
用 户 访问 权限 。 


6. 管理 Internet Explorer 增强 的 安全 配置 


Internet Explorer 增强 的 安全 配置 设计 用 于 减少 服务 器 暴露 在 安全 威胁 之 下 的 可 能 
性 。 为 了 确保 尽 可 能 地 获 益 于 增强 的 安全 配置 ,请 考虑 以 下 浏览 器 管理 建议 。 

。 默认 情况 下 ,所 有 Internet 和 Intranet 站 点 均 分 配 到 “Internet” 区 域 。 如 果 你 信 
任 某 个 Internet 或 Intranet 站 点 并 且 需 要 该 站 点 正常 工作 ,请 将 Internet 站 点 添 
加 到 “受信 任 的 站 点 ”区 域 ,将 Intranet 站 点 添加 到 “本 地 Intranet” 区 域 。 有 关 每 
个 区 域 的 安全 级 别 的 详细 信息 ,请 参阅 Internet Explorer 增强 的 安全 配置 的 
影响 。 
如 果 你 想 在 Internet. 上 运行 基于 浏览 器 的 客户 端 应 用 程序 , 则 应 该 将 该 应 用 程序 
所 在 的 网 页 添加 到 * 受 信任 的 站 点 "区域 。 有 关 详 细 信息 ,请 参阅 将 站 点 添加 到 受 
信任 的 站 点 区 域 。 
如 果 你 想 在 受 保护 且 安全 的 本 地 Intranet. 上 运行 基于 浏览 器 的 客户 端 应 用 程序 ， 
则 应 该 将 该 应 用 程序 所 在 的 网 页 添加 到 “本 地 Intranet” 区 域 。 有 关 详 细 信 息 , 请 
参阅 将 站 点 添加 到 本 地 Intranet 区 域 。 
将 内 部 站 点 和 本 地 服务 器 添加 到 “本 地 Intranet? 区 域 可 确保 你 可 以 访问 .运行 服 
务 器 中 的 应 用 程序 。 
作为 安装 过 程 的 一 部 分 ,使 用 unattend. txt 将 Intranet 站 点 和 UNC 服务 器 添加 
到 “本 地 Intranet” 区 域 包含 列表 。 
使 用 客户 端 计算 机 下 载 驱动 程序 、Service Pack. 以 及 其 他 更 新 。 避 免 从 服务 器 进 
行 任何 浏览 。 
如 果 使 用 磁盘 映像 在 服务 器 上 安装 操作 系统 ,请 在 基本 映像 上 将 信任 的 Intranet 
站 点 和 UNC 服务 器 添加 到 “本 地 Intranet” 区 域 ,将 信任 的 Internet. 站 点 添加 到 
“受信 任 的 站 点 ”区 域 。 然 后 可 以 根据 不 同 的 服务 器 类 型 和 需求 更 改 映像 上 的 
列表 。 


7. 将 站 点 添加 到 受信 任 的 站 点 区 域 


在 服务 器 上 启用 Internet Explorer 增强 的 安全 配置 时 ,所 有 Internet 站 点 的 安全 设 
和 置 都 设置 为 “高 "。 如 果 你 信任 某 个 网 页 并 且 需 要 它 正常 工作 , 则 可 以 将 该 网 页 添加 到 
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Internet Explorer 的 “受信 任 的 站 点 ?区域 。 

(1) 导航 到 要 添加 的 站 点 。 

(2) 在 状态 栏 上 ,双击 安全 区 域名 称 ( 如 Internet) 以 打开 “Internet 安全 ”对 话 框 。 

(3) 单 击 “ 受 信任 的 站 点 ”, 然 后 单 击 “ 站 点 ”按钮 。 

(4) 在 “受信 任 的 站 点 ”对 话 框 中 , 单 击 “ 添 加 ”以 将 站 点 添加 到 列表 中 ,然后 单 击 “ 关 
闭 ” 按 钮 。 

(5) 刷新 页 面 以 从 其 新 区 域 查看 该 站 点 。 

(6) 检查 浏览 器 的 状态 栏 ,以 确认 该 站 点 位 于 “受信 任 的 站 点 "区域 。 


8. 将 Internet Explorer 增强 的 安全 配置 应 用 到 特定 用 户 


使 用 Internet Explorer 增强 的 安全 配置 ,可 以 控制 允许 对 服务 器 上 某 些 用 户 组 进行 
Internet Explorer 访问 的 级 别 。 

运行 Windows Server 2008 的 计算 机 将 增强 的 安全 配置 应 用 到 特定 用 户 的 步骤 
如 下 。 

(1) 使 用 是 本 地 Administrators 组 成 员 的 用 户 账户 登录 计算 机 。 

(2) 单 击 “ 开 始 ” 按 钮 ,指向 “管理 工具 ”, 然 后 单 击 “ 服 务 器 管理 器 ”。 

(3) 如 果 出 现 * 用 户 账户 控制 "对话 框 , 请 确认 所 显示 的 是 你 要 执行 的 操作 ,然后 单 击 
“继续 ”按钮 。 

CD 在 “安全 信息 ”下 单 击 “ 配 置 IE Esc". 

(5) TE Administrators 下 ,根据 所 需 的 配置 单 击 “ 启 用 (推荐 )" 或 “禁用 ”。 

(6) 在 “用 户 ” 下 ,根据 所 需 的 配置 单 击 “ 启 用 (推荐 )" 或 “禁用 ”。 

(7) 单 击 “ 确 定 ” 按 钮 。 

(8) 重新 启动 Internet Explorer. 以 应 用 增强 的 安全 配置 。 


106 7J 题 
一 、 填空 题 
1. 常用 的 电子 邮件 协议 有 和 
2. 目前 ,成 熟 的 端 到 端 安 全 电子 邮件 标准 有 和 
3. Internet 电子 欺骗 主要 有 å , 
4. ARP 是 负责 将 转化 成 对 应 的 的 协议 。 
5. VPN 常用 的 连接 方式 有 : ` 
二 、 选 择 题 


1. Internet. Explorer 浏览 器 本 质 是 一 个 ( v. 
A. j£ A Internet 的 TCP/IP 程序 
B. 连 入 Internet 的 SNMP 程序 
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然而 ( 


C. 浏览 Internet 上 Web 页 面 的 服务 器 程序 
D. 浏览 Internet 上 Web 页 面 的 客户 程序 
. 关于 发 送 电子 邮件 ,下 列 说 法 中 正确 的 是 ( Ms 
A. 你 必须 先 接 入 Internet, 别 人 才 可 以 给 你 发 送 电子 邮件 
B. 你 只 有 打开 了 自己 的 计算 机 ,别人 才 可 以 给 你 发 送 电子 邮 件 
C. 只 要 你 有 E-mail 地 址 ,别人 就 可 以 给 你 发 送 电子 邮件 
D. 没有 E-mail 地 址 ,也 可 以 收发 送 电子 邮件 
. ARP 为 地 址 解析 协议 。 关 于 ARP 的 下 列 说 法 中 ,正确 的 是 ( 
A. ARP 的 作用 是 将 IP 地 址 转换 为 物理 地 址 
B. ARP 的 作用 是 将 域名 转换 为 TP 地 址 
C. ARP 的 作用 是 将 IP 地 址 转换 为 域名 
D. ARP 的 作用 是 将 物理 地 址 转换 为 IP 地 址 
. 在 常用 的 网 络 安全 策略 中 ,最 重要 的 是 ( Ja 
A. 检测 B. 防护 C. 响应 D. 恢复 
.从 攻击 方式 区 分 攻击 类 型 ,可 分 为 被 动 攻击 和 主动 攻击 。 被 动 攻击 难以 ( m 
) 这 些 攻击 是 可 行 的 ;主动 攻击 难以 ( ) ,然后 ( ) 这 些 攻击 是 可 行 的 。 
A. 阻止 ,检测 ,阻止 ,检测 B. 检测 ,阻止 ,检测 ,阻止 
C. 检测 ,阻止 ,阻止 ,检测 D. 上 面 3 项 都 不 是 


三 、 简 答题 


cou to 


. 电子 邮件 的 安全 漏洞 都 有 哪些 ? 
. 电子 邮件 安全 策略 都 有 哪些 ? 
IP 电子 欺骗 的 防范 都 有 哪些 ? 
DNS 欺骗 攻击 原理 是 什么 ? 
.什么 是 VPN? 
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